AD delegation rename user - Serversoftware en clouddiensten

vrijdag 1 augustus 2008 12:28

Acties:

Topicstarter

Ik ben bezig met het opzetten van delegation in Active Directory.
Het doel is om iemand van het secretariaat alle users langs te laten lopen en de naw gegevens te wijzigen/updaten.
Het gaat mij dan om Voornaam, Initialen, Achternaam en Display Name.
Dit gaat helemaal goed.
Maar als ik in de AD de user zelf wil laten renamen.Moet ik de "Full Name" permissions zetten.
Maar deze kan ik nergens vinden.
Hebben deze een andere naam ?
Via technet en google word ik niet veel wijzer.
Iemand een idee ?

The best thing about UDP jokes is that I don't care if you get them or not.

vrijdag 1 augustus 2008 20:04

Acties:

alt-92

ye olde farte

Ik zou die delegation weliswaar wel gebruiken, maar vooral een simpele Webinterface (voor mijn part een .hta file) inzetten die alleen die velden laat wijzigen die je ze wil laten wijzigen

Daarmee voorkom je ook dat men fouten gaat maken met het gebruik van de ADuc snapin.
Ik ben zelf van mening dat je non-admins dergelijke tools helemaal niet moet laten gebruiken - maak daar liever zelf een (script) interface voor waarin jij bepaalt wat ze wel en niet kunnen?

Wat jij met Full Name bedoelt - misschien canonicalName?

http://www.microsoft.com/...ify/default.mspx?mfr=true

[ Voor 13% gewijzigd door alt-92 op 01-08-2008 20:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 1 augustus 2008 20:26

Acties:

Gomez12

Sowieso is een web-interface makkelijker... Je kan er een fatsoenlijke help-functie achterhangen, je kan de velden zinvolle namen geven voor de betreffende afdeling, en je kan iets vrijer zijn qua delegations / rechten ( let op, iets ... ) omdat je nog een 2e laag in je web-interface hebt zitten ( waar je in je web-interface geen afhandeling voor biedt kan iemand gewoon niet bij al heeft hij de delegation wel )

vrijdag 1 augustus 2008 20:40

Acties:

Remco

Topicstarter

Je hebt helemaal gelijk, maar het is een beetje een haast klus.
Voordeel is wel dat degene die het gaat doen betrouwbaar is. Maar ik wil foutjes uitsluiten.
Ben al iets verder gekomen.
Zie de tekst hieronder, maar ben er nog niet veel mee opgeschoten. Kwamen weer van allerlei zaken tussen, dus kon er niet zoveel tijd meer aan besteden.

Renaming Objects
There is no single Rename permission in Active Directory. Instead, you
have permission to rename an object if you have permission to write to
certain of its properties.
Recall from Chapter 1 that the name of the object in its parent container
is its RDN. Depending on the object class, the RDN is exactly the
same as the CN, OU, or DC property (or one of the more rare alternatives).
Consequently, if you want to rename an object, you must have
write permission to both its RDN property and this other property, such
as CN. Also, if you have the Write All Properties permission, you can
rename an object.
Giving permission to write to all properties is easy, but giving permission
to write to only the CN and RDN properties (to be able to
rename an object) is slightly trickier. We explain the process and use
contact objects as an example. Contact objects use CN as their naming
property, so to rename them, you must be able to write to the CN and
RDN properties.
Remember that all properties have an LDAP name and some properties
also have a display name. Table 4.22 lists both of these names for
the CN and RDN properties.
The ACL Editor dialog box D for contact objects has a “Write name”
line and a “Write Name” line. The former line corresponds to RDN and
the latter corresponds to CN. You must allow writing to both properties,
so you must check the Allow boxes on both lines.

The best thing about UDP jokes is that I don't care if you get them or not.