Die ADLDS Verzeichnisdienste von Microsoft bieten die Möglichkeit kostengünstig ein LDAP Verzeichnis zur Verfügung zu stellen. ADLDS basiert auf Basistechnologien des Active Directory. Dadurch kann zum Beispiel auch eine hochverfügbare LDAP Infrastruktur mit Hilfe der Multi Master Replikation des Active Directory implementiert werden. Den ADLDS mangelt es jedoch an einer funktional eingeschränkten Verwaltungsoberfläche. Die Verwaltung findet über Kommandozeilentools, LDP.EXE oder ADSIEdit.msc statt. Manche Aufgaben lassen sich mit den angesprochen Werkzeugen allerdings nicht ganz so gut umsetzen. Ein Beispiel ist das Delegieren von Benutzerberechtigungen. In den Active Directory Services kommt das mmc Snapin Active Directory Benutzer und Computer zum Einsatz.
Mit der Funktion Delegieren von Berechtigungen können einfache Aufgaben Assistentengesteuert an Benutzer oder Gruppen delegiert werden um Beispielsweise einem Benutzer Helpdesk das Zurücksetzen eines Kennworts zu gestatten. Das Snapin lässt sich leider aber nicht einsetzen um selbiges im ADLDS zu tun. Um Berechtigungen im ADLDS zu setzen wird entweder das Kommandozeilenwerkzeug dscacls oder LDP.EXE verwendet.
Ich persönlich finde die Verwendung von dsacls nicht besonders intuitiv. Das Tool kann hervorragend für die Massenverarbeitung oder automatisierte Prozesse verwendet werden, ist aber entsprechend Aufwendig um erstmal den korrekten Berechtigungseintrag zu ermitteln.
Um Berechtigungen etwas übersichtlicher darstellen zu können kann LDP.EXE verwendet werden. Ich bitte um Verständnis das ich hier keine Schritt für Schritt Anleitung, sondern nur das generelle Vorgehen beschreibe. Die kommende Beschreibung setzt ein wenig Grundkenntnisse in der Nutzung von LDP.EXE vorraus.
Zunächst muss eine Verbindung mit dem entsprechenden ADLDS hergestellt werden. Für die Verbindung wird das „Connection“ Menü verwendet. Anschließend kann die Struktur des ADLDS über das „View“ Menü angezeigt werden. In entsprechenden LDAP Ebene kann über das Kontextmenü der „Security Descriptor“ aufgerufen werden.
Der entsprechende Kontext kann nach dem Auswählen nochmal Textbasiert geändert werden. Ist der Kontext korrekt wird einfach mit „Ok“ bestätigt.
Schließlich werden nachdem bestätigen die entsprechenden Berechtigungseinträge angezeigt.
Die Einträge können hier geändert, gelöscht und hinzugefügt werden. Damit hier tatsächlich nur das nötigste an Berechtigungen vergeben wird empfehle ich folgendes vorgehen:
- Erstellen einer Test OU in einem Active Directory
- Delegieren einer gewünschten Berechtigung (z.B. Reset Password) über die „Active Directory Users and Computers“ mmc
- Auslesen der Active Directory OU in LDS.EXE um zu ermitteln welche Berechtigungen auf der entsprechenden OU vergeben wurden
- Verbindung zu ADLDS und erstellen eines Eintrages anhand der ermittelten Berechtigungen aus dem vorangegangen Schritt
- Löschen oder aufräumen der Test OU im Active Directory
