Toon posts:

Hoe bij meedere users in Active Dir de rechten aanpassen ?

Pagina: 1
Acties:

dinsdag 14 november 2006 12:36

Acties:
  • SLeddert
  • Registratie: December 2002
  • Laatst online: 09-12-2025

SLeddert

SLeddert

Topicstarter
Onze AD draait op Win2003 SP1.
De users staan onderverdeeld in diverse OU's.

Nu wil ik graag aan alle users in de AD (alleen de users) een extra permission toevoegen.
Bij één user gaat dit gewoon via 'Eigenschappen van de User' en dan het 'Security-Tab'.
Echter zodra ik meedere users selecteer is dit tabblad er niet meer en kan ik dus niet een permissie geven aan twee users tegelijkertijd.
Aangezien we 3500+ users hebben, ga ik dit niet één voor één uitvoeren.

Wie kan me vertellen hoe ik aan alle users een permissie kan toevoegen ?

Karsten

dinsdag 14 november 2006 12:40

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:15

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Kijkt u eens: klik hier (CSVDE en LDIFDE)

Je hebt natuurlijk ook tools die dit voor je kunnen doen, mogelijkheid bv: hier

[ Voor 80% gewijzigd door Bor op 14-11-2006 12:42 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 november 2006 12:56

Acties:

Verwijderd

wat wil je bereiken?

dinsdag 14 november 2006 13:05

Acties:
  • SLeddert
  • Registratie: December 2002
  • Laatst online: 09-12-2025

SLeddert

SLeddert

Topicstarter
Verwijderd schreef op dinsdag 14 november 2006 @ 12:56:
wat wil je bereiken?
Ik wil aan alle user accounts 'Anonymous Logon' (read) toevoegen, zodat onze scanners het email adres en de Display names van alle users kunnen lezen

Karsten

dinsdag 14 november 2006 13:10

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:15

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Dat kan als het goed is prima met de eerder genoemde MS tools. Heb je die al bekeken in de tussentijd?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 november 2006 13:43

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 19:50

Asteroid9

General Failure

En anders "ADmodify"
Handige grafische utility voor bulk aanpassingen, oorspronkelijk gemaakt door MS developers dacht ik.

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

dinsdag 14 november 2006 14:01

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:15

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Misschien een rare vraag maar wat heb je zelf al ondernomen om het antwoord te vinden en waarom voldoen die antwoorden niet? Een search met google op "bulk modify active directory" levert namelijk al behoorlijk veel antwoorden zoals CSVDE en LDIFDE maar ook complete tools. Natuurlijk kun je een reden hebben om die (standaard) tools niet te kiezen. Ik zou graag horen welke redenen dit zijn zodat we je misschien beter kunnen adviseren.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 november 2006 14:05

Acties:

Verwijderd

1 van de hits als je die query door google gooit is admodify.net waar ik persoonlijk goeie ervaringen mee heb.

dinsdag 14 november 2006 14:06

Acties:
  • SLeddert
  • Registratie: December 2002
  • Laatst online: 09-12-2025

SLeddert

SLeddert

Topicstarter
Ik heb net even de twee hierboven aangegeven grafische tools bekeken.
Deze zijn inderdaad erg handig, maar je kan er geen security mee aanpassen... 8)7

@Bor: Die twee command line tools van jou zal ik nu eens gaan bekijken.
Maar ik moet eerlijk zeggen dat mijn voorkeur uitgaat naar grafische oplossingen. Dat vind ik overzichtelijker. ( Aangezien ik geen zin heb om per ongeluk 3500+ useraccounts om zeep te helpen )

Karsten

dinsdag 14 november 2006 14:49

Acties:

Verwijderd

SLeddert schreef op dinsdag 14 november 2006 @ 14:06:
Ik heb net even de twee hierboven aangegeven grafische tools bekeken.
Deze zijn inderdaad erg handig, maar je kan er geen security mee aanpassen... 8)7

@Bor: Die twee command line tools van jou zal ik nu eens gaan bekijken.
Maar ik moet eerlijk zeggen dat mijn voorkeur uitgaat naar grafische oplossingen. Dat vind ik overzichtelijker. ( Aangezien ik geen zin heb om per ongeluk 3500+ useraccounts om zeep te helpen )
da's een kwestie van goed testen. eerste een paar test gebruikers, dan een paar bekende accounts (directe collega's bijv.), dan de rest.

dinsdag 14 november 2006 15:47

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:15

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

SLeddert schreef op dinsdag 14 november 2006 @ 14:06:
Aangezien ik geen zin heb om per ongeluk 3500+ useraccounts om zeep te helpen )
Je maakt hopelijk wel een backup VOOR je dit soort bulk wijzigingen gaat doen (zeker wanneer je het nog nooit eerder hebt gedaan) ?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 november 2006 16:00

Acties:

Verwijderd

Is het niet zinvoller om authenticated users/domain users toe tevoegen? Anders heb je een probleem met nieuwe accounts.

dinsdag 14 november 2006 16:08

Acties:
  • Firefox
  • Registratie: Juni 1999
  • Laatst online: 08-09-2024

Firefox

Een Vurig Vosje

Security dingen in de AD aanpassen loopt via de ACL's. De beste manier om dat collectief aan te passen - denk ik - is via ADSIEdit.msc Dan hoef je het maar op 1 plek toe te voegen, en vervolgens werkt het met inherritance door, ook naar nieuw te maken objecten op een later tijdstip.

Ik vraag me alleen af of dit security technisch wel zo fijn is, een anonimous user toegang geven op je AD, zelfs al is het alleen maar voor lezen... - maar dat is aan jou te oordelen.

Better to have loved and lost then never loved at all... yeah right.

dinsdag 14 november 2006 16:57

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 22:15

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Een anonymous user toegang geven al is het alleen maar leesrechten is zeker NIET fijn. Usernames uitlezen etc wil je zeker niet toestaan.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 november 2006 17:34

Acties:
  • SLeddert
  • Registratie: December 2002
  • Laatst online: 09-12-2025

SLeddert

SLeddert

Topicstarter
Bor de Wollef schreef op dinsdag 14 november 2006 @ 16:57:
Een anonymous user toegang geven al is het alleen maar leesrechten is zeker NIET fijn. Usernames uitlezen etc wil je zeker niet toestaan.
Uiteraard heb ik ook test OU's gemaakt en zijn er goede backups :9
Helaas zullen de scanners toch een LDAP query moeten kunnen doen op de AD.
En aangezien er op de scanners niet ingelogd mag worden, zal het wel via Anonymous moeten.
ADSIEdit kwam ik ook tegen via Google...eens kijken of dit is wat ik zoek ;)

Karsten

dinsdag 14 november 2006 17:39

Acties:
  • engelbertus
  • Registratie: April 2005
  • Laatst online: 08-02 21:49

engelbertus

waarok moet dit per user, kan dit niet met een policy op de ou's toegepast worden of zo?


op de scanner mag niet worden ingelogd, kun je de scanners niet aan een gebruikersgroep of zo toevoegen die dan wel rechten krijgt?

dinsdag 14 november 2006 17:49

Acties:
  • the_stickie
  • Registratie: Juli 2001
  • Laatst online: 14-09-2025

the_stickie

Naast het feit dat wat je wil bereiken compleet waanin is qua veiligheid vraag ik me af of die scanner, die wel in AD usernames en e-mailadressen kan gaan ophalen, niet zo geconfigureerd kan worden dat ie netjes aanmeldt met een user met beperkte rechten :?

[ Voor 7% gewijzigd door the_stickie op 14-11-2006 17:50 ]

dinsdag 14 november 2006 17:56

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 19:50

Asteroid9

General Failure

En je gaat met een AD van 3500 users aan de slag terwijl je niet eens bekend bent met de gangbare AD beheerstools? :?

Nofi, maar ben jij de reguliere beheerder?

Iedere fatsoenlijke scanner voor jouw bedrijfsgrootte die LDAP ondersteunt zal ook authenticatie aan moeten kunnen.
Om domweg je permissies aan te passen lijkt me extreem onwenselijk.

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

dinsdag 14 november 2006 18:19

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

SLeddert schreef op dinsdag 14 november 2006 @ 17:34:
En aangezien er op de scanners niet ingelogd mag worden, zal het wel via Anonymous moeten.
Op de scanner inloggen heeft niets te maken met authenticatie tegen de AD. Je kan gewoon een account aanmaken met de juiste rechten en die scanner laten binden met deze credentials. Dan hoeft je je AD in ieder geval niet wagenwijd open te zetten.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 14 november 2006 18:24

Acties:
  • SLeddert
  • Registratie: December 2002
  • Laatst online: 09-12-2025

SLeddert

SLeddert

Topicstarter
_DH schreef op dinsdag 14 november 2006 @ 18:19:
[...]


Op de scanner inloggen heeft niets te maken met authenticatie tegen de AD. Je kan gewoon een account aanmaken met de juiste rechten en die scanner laten binden met deze credentials. Dan hoeft je je AD in ieder geval niet wagenwijd open te zetten.
Ok, dat zou zeker een goede optie zijn.
Ik zal morgen eens kijken of dit mogelijk is met de beschikbare scanners.

Karsten

dinsdag 14 november 2006 19:11

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Laatst online: 20:37

_Arthur

blub

SLeddert schreef op dinsdag 14 november 2006 @ 18:24:
Ok, dat zou zeker een goede optie zijn.
Ik zal morgen eens kijken of dit mogelijk is met de beschikbare scanners.
Als je merk/type weet kunnen we mee zoeken (als we zin hebben natuurlijk).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq