Wie delegiere ich in Active Directory Schreibberechtigungen für bestimmte Attribute geschützter Benutzerkonten?

7

Wir haben ein Tool entwickelt, das bestimmte Attribute von Active Directory-Benutzerobjekten mit einer maßgeblichen Quelle für die Wahrheit der Mitarbeiterinformationen an anderer Stelle auf dem neuesten Stand hält, sodass Active Directory automatisch aktualisiert wird, wenn sich die Telefonnummer oder der Manager oder der Standort einer Person ändert.

Für normale Benutzer ist die Delegierung der Manipulation an diese Eigenschaften mithilfe der Delegierungstools einfach zu handhaben. Geschützte Benutzer, auf die die adminSDHolderACL angewendet wurde, sind jedoch schwieriger.

Wenn Sie der adminSDHolderACL über die Benutzeroberfläche einen ACE hinzufügen , können Sie nur Zugriff auf alle Eigenschaften (die wir aus Sicherheitsgründen nicht möchten) oder auf Eigenschaften, die für das adminSDHolderObjekt selbst vorhanden sind, gewähren - nicht auf Benutzereigenschaften wie department.

Wie gewähren Sie Zugriff auf bestimmte Eigenschaften von Benutzerobjekten unter dem Schutz von adminSDHolder?

delegation active-directory Shane Madden
quelle
Nicht um dieser Typ zu sein, aber warum haben Sie Benutzer, die von adminSDHolder betroffen sind und die HR-Informationen aktualisieren müssen? Sie sollten einem LPU-Modell der Systemadministration folgen und separate benannte Konten für die Administration verwenden, z. B. ShaneMaddenAdmin (oder was auch immer), damit Sie keine Benutzerkonten haben, für die HR-Informationen als Mitglieder geschützter Gruppen aktualisiert werden müssten.
Joeqwerty
@joeqwerty Schlüsselwort ist "sollte" - nicht alle Konten sind derzeit aufgeteilt, aber vereinbart, dass sie sein sollten.
Shane Madden

Antworten:

7

Dies ist möglich, jedoch nur über die Befehlszeilentools. Die Benutzeroberfläche ist nicht in der Lage, Änderungen vorzunehmen (und herauszufinden, was diese ACEs tatsächlich sind, sobald sie vorhanden sind).

Um den Zugriff auf einen bestimmten Benutzer Objektattribut zu gewähren, zum Beispiel telephoneNumber, Verwendung dsacls:

dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com" /G Allow-User-Management:RPWP;telephoneNumber;

Dadurch wird eine ACE für dieses Attribut erstellt, die bedeutungslos ist, adminSDHolderda sie keine hat telephoneNumber, aber dann auf die geschützten Benutzer angewendet wird.

Beachten Sie, dass die UI-Tools folgendermaßen aussehen. Jede dieser Eigenschaften, die Sie zum Erstellen eines ACE gewähren, ist nicht sicher, woraus Sie bestehen sollen:

verwirrt-ui

Aber dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com"wird die Wahrheit zeigen:

Allow Allow-User-Management
                                      SPECIAL ACCESS for sn
                                      WRITE PROPERTY
                                      READ PROPERTY
Allow Allow-User-Management
                                      SPECIAL ACCESS for telephoneNumber
                                      WRITE PROPERTY
                                      READ PROPERTY
Shane Madden
quelle