LDAP-Abfrage > Rechte nötig ?

[Arnim Gärttner]

Hallo zusammen,

für die Abfrage unseres ActiveDirectory (Windows2003) wurde vor Jahren einem
einfachen Standardaccount eine Berechtigung eingerichtet, die es einem
"normalen" Account ermöglichte, mit irgendeinem LDAP-Browser lesend auf das
AD zuzugreifen ...funktioniert bei uns standardmäßig nur mit Adminaccounts.

Bedauerlicherweise weiß ich nicht, an welcher Stelle dem einfachen
Useraccount damals das entsprechende Recht gegeben wurde (eine bestimmte
Gruppenmitgliedschaft war es jedenfalls nicht)

Herzlichen Dank schon mal im voraus für alle gute Ideen und sachdienlichen
Hinweise :-)

Gruß, Arnim

["Frank Röder [MVP]"]

Arnim Gärttner schrieb:

> Hallo zusammen,
>
> für die Abfrage unseres ActiveDirectory (Windows2003) wurde vor Jahren einem
> einfachen Standardaccount eine Berechtigung eingerichtet, die es einem
> "normalen" Account ermöglichte, mit irgendeinem LDAP-Browser lesend auf das
> AD zuzugreifen ...funktioniert bei uns standardmäßig nur mit Adminaccounts.
>
> Bedauerlicherweise weiß ich nicht, an welcher Stelle dem einfachen
> Useraccount damals das entsprechende Recht gegeben wurde (eine bestimmte
> Gruppenmitgliedschaft war es jedenfalls nicht)
>

mmmhh, eigentlich sollten Benutzerrechte für einen lesenden Zugriff auf
das AD reichen. Hat jemand an den Berechtigungen geschraubt oder ist es
eine Standardinstallation?

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

[Arnim Gärttner]

... meines Wissens eine Standardinstallation

Gruß, Arnim

PS: Geht überigens definitiv nur mit Adminaccount)

""Frank Röder [MVP]"" schrieb:

[Hans Rechner]

"Arnim Gärttner" <ArnimG...@discussions.microsoft.com> schrieb im
Newsbeitrag news:DCF89B06-F1DF-432E...@microsoft.com...

> ... meines Wissens eine Standardinstallation
>
> Gruß, Arnim
>
> PS: Geht überigens definitiv nur mit Adminaccount)

Dann hat da schon jemand rumgeschraubt.!! Per default haben die
"Authenticated User" lesenden Zugriff auf das AD.
Denn zum Lesen ist ein Verzeichnisdienst da!

Gruß, Hans

["Frank Röder [MVP]"]

Arnim Gärttner schrieb:
> .... meines Wissens eine Standardinstallation

>
> Gruß, Arnim
>
> PS: Geht überigens definitiv nur mit Adminaccount)
>

nee, kann nicht sein. Ich habe gerade nochmal mit ldp.exe getestet.
Wie sehen denn die Berechtigungen aus. Überprüfe mal die Berechtigungen
auf der Ebene der Domäne. Welche Rechte haben denn die Authentifizierten
Benutzer?

Sollte Alles nichts helfen, dann kannst Du mit dem Tool "acldiag" die
Standardberechtigungen, die im Schema definiert sind, wiederherstellen.
Dieses Tool ist in den Support Tools enthalten. Achte beim Download
bitte darauf, dass Du die richtige Version herunterlädst.

[Arnim Gärttner]

Hi,

es ist in der Tat sehr seltsam, da in 'Active Directory Benutzer und
Computer' unter dem Sicherheitsregister der Domäne, die Authentfizierten
Benutzer wirklich Leserechte haben.

Dein Vorschlag die Standardberechtigungen zurückzusetzen trau ich mich im
Moment nicht, da wir Exchange2003 in der Domäne haben und dieses
ActiveDirectory außerdem quasi als Rückgrad einer kompletten
Tageszeitungsproduktion dient.

Mich würde zudem auch interessieren an was dies letztlich liegt. Kann ja
eigentlich nicht viel sein ... ;-)

Gruß, Arnim

""Frank Röder [MVP]"" schrieb:

> Arnim Gärttner schrieb:
> > .... meines Wissens eine Standardinstallation
> >
> > Gruß, Arnim
> >

> > PS: Geht übrigens definitiv nur mit Adminaccount)

["Frank Röder [MVP]"]

Arnim Gärttner schrieb:

> Hi,
>
> es ist in der Tat sehr seltsam, da in 'Active Directory Benutzer und
> Computer' unter dem Sicherheitsregister der Domäne, die Authentfizierten
> Benutzer wirklich Leserechte haben.
>
> Dein Vorschlag die Standardberechtigungen zurückzusetzen trau ich mich im
> Moment nicht, da wir Exchange2003 in der Domäne haben und dieses
> ActiveDirectory außerdem quasi als Rückgrad einer kompletten
> Tageszeitungsproduktion dient.
>
> Mich würde zudem auch interessieren an was dies letztlich liegt. Kann ja
> eigentlich nicht viel sein ... ;-)

Wenn Du mir verrätst mit welchen LDAP-Browser Du arbeitest. Versuche es
mal mit LDP.EXE aus den Server-Supporttools. Damit funktioniert es.

[Arnim Gärttner]

Mit ldp.exe funnbktionierts auch nicht (Ausgangspunkt xp-Client); ich
verwende übrigens gerade einen einfachen LDAP Browser/Editor siehe
"http://www-unix.mcs.anl.gov/~gawor/ldap/"

PS: Hast du ebenfalls Servicepack1 auf deiner Windows20003-Umgebung ?
Probierst du es von auf einen Client auf das Ad zuzugreifen oder von einem DC
? Kannst du ausschließen, dass dein Browser die Verbindung evtl. mit
Adminrechten herstellt ?

Gruß, Arnim
""Frank Röder [MVP]"" schrieb:

> Arnim Gärttner schrieb:

["Frank Röder [MVP]"]

Arnim Gärttner schrieb:

> Mit ldp.exe funnbktionierts auch nicht (Ausgangspunkt xp-Client); ich
> verwende übrigens gerade einen einfachen LDAP Browser/Editor siehe
> "http://www-unix.mcs.anl.gov/~gawor/ldap/"
>
> PS: Hast du ebenfalls Servicepack1 auf deiner Windows20003-Umgebung ?
> Probierst du es von auf einen Client auf das Ad zuzugreifen oder von einem DC
> ? Kannst du ausschließen, dass dein Browser die Verbindung evtl. mit
> Adminrechten herstellt ?
>

Server: Windows 2003 SP1
Client: Windows XP SP2

Der Client ist _kein_ Mitglied der Domäne. Ich starte also auf dem
Client das Tool "ldp.exe". Danach gehe ich unter "Connection" auf "Connect".
Dort gebe ich unter "Server" einfach den FQDN bzw. die IP-Adresse des
DCs ein. Den Rest lasse ich auf Standard. Jetzt muss ich mich noch
authentifizieren.
"Connection" -> "Bind"
User: Benutzername@domänenname.de
Password: Kennwort des Benutzers

Den Rest lässt Du einfach so wie es ist. Jetzt "Ok" klicken und eine
kurze Weile warten. Danach sollte sich etwas im rechten Fenster tun und
als letzte Zeile sollte "Authenticated as dn:'*Benutzername*'" stehen.

Wenn Du das siehst, hast Du dich erfolgreich mit dem AD verbunden.

[Arnim Gärttner]

Hallo, vielen Dank für die Kurzanleitung für "Dumme" ... jetzt hat's bei mir
mit ldp.xe auch funktioniert ;-)

Doch weshalb funktioniert die Sache mit irgend einem anderen LDAP-Browser
stets nur mit Admin Account ?

Gruß, Arnim Gärttner

""Frank Röder [MVP]"" schrieb:

["Frank Röder [MVP]"]

Arnim Gärttner schrieb:

> Hallo, vielen Dank für die Kurzanleitung für "Dumme" ... jetzt hat's bei mir
> mit ldp.xe auch funktioniert ;-)
>
> Doch weshalb funktioniert die Sache mit irgend einem anderen LDAP-Browser
> stets nur mit Admin Account ?
>
> Gruß, Arnim Gärttner
>

keine Ahnung warum. Ich arbeite mit der ldp.exe.
Vielleicht authentifiziert das Tool Dich nicht richtig?

[Robert Pieroth [MVP]]

"Arnim Gärttner" <ArnimG...@discussions.microsoft.com> schrieb

> Hallo, vielen Dank für die Kurzanleitung für "Dumme" ... jetzt hat's bei mir
> mit ldp.xe auch funktioniert ;-)
>
> Doch weshalb funktioniert die Sache mit irgend einem anderen LDAP-Browser
> stets nur mit Admin Account ?

Hi Arnim,

schau hier mal rein:
http://groups.google.de/group/microsoft.public.de.german.win2000.active_directory/browse_thread/thread/c1d4b2d3a29dffb6
Vielleicht helfen die dort aufgeführten Links weiter.

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A

[Arnim Gärttner]

Hi Robert,

vielen Dank für deine Unterstützung. Du schreibst im themenverwandten
newsgroup-faden ... "Die LDAP-Anwendung muß also mit 'single bind' arbeiten,
damit überhaupt ein Zugriffstoken generiert wird, das gegen die ACLs im AD
abgeglichen werden kann."

Leider kann ich jedoch bei den 2 LDAP-Browsern, die ich verwende - z.B.
Softerra 2.6, das Binding nicht speziell konfigurieren. Zudem funzt bei mir
die LDAP-Query über die rudimentäre ldp.exe auch im generic mode (also ohne
simple bind) mit einem standarduser ... was für mich heißt, da muss der Hund
wahrscheinlich noch irgendwo anders begraben sein. Zudem sollte mit solchen
Tools doch auch ohne großen Aufwand eine einfache LDAP-Abfrage möglich sein.

Grüße, Arnim Gärttner

"Robert Pieroth [MVP]" schrieb: