Meerdere groepen met dezelfde naam in AD 2003 - Serversoftware en clouddiensten

donderdag 6 november 2008 22:13

Acties:

Zabbix specialist 7 ;-)

Topicstarter

Volgend probleem.

Binnen ons bedrijf zijn ze bezig met een nieuwe applicatie, deze leest zijn rechten uit Active Directory. Dat werkt prima.

De applicatie maakt gebruik van meerdere groepen van waar de rechten binnen de applicatie wordt bepaald.
Nu is het nog een omgeving

Maar nu willen ze de applicatie laten bestaan uit een Productie, acceptatie, test en opleidings omgeving.
Alle rechten die nu bestaan willen ze meerdere keren gebruiken. Dus willen ze voor productie enz. een aparte OU maken met daarin de rechten, de benaming kan niet aangepast worden, alleen de Pre2000 benaming is niet van toepassing.
Het komt er op neer dat ze alleen ietsmeer rechten op afdelings groep krijgen als ze in bijv. de test omgeving krijgen.

Hoop tekts, maar wat ik me dus afvraag en dus niet zeker weet.

Wat gebeurt er als ik de rechten object in verschillende containers aanmaak en alleen de Pre-2000 benaming anders maak, zou Windows 2003 AD er problemen mee hebben.
Heeft iemand hier ervaring mee...

Kan in google ook niets vinden ook op het forum niet.

Hoop dat iemand antwoord kan geven.

PS5 User ;-) ...

donderdag 6 november 2008 22:20

Acties:

alt-92

ye olde farte

Zolang je de CanonicalName en DN af kan laten wijken van elkaar, dan is een andere sAMAccountName voor die groepen geen bezwaar.

Je moet je wel afvragen of je zoiets eigenlijk wel wil. Wat ze van je vragen is dus hardcoded security in een app inbouwen, en jij mag qua design het werk van de applicatie-ontwikkelaar gaan doen in je AD.

Als je het wil testen, kijk dan eens naar ADAM (AD Application Mode) om dat mee te doen?

[ Voor 12% gewijzigd door alt-92 op 06-11-2008 22:22 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 6 november 2008 22:31

Acties:

supernova

Zabbix specialist 7 ;-)

Topicstarter

alt-92 schreef op donderdag 06 november 2008 @ 22:20:
Zolang je de CanonicalName en DN af kan laten wijken van elkaar, dan is een andere sAMAccountName voor die groepen geen bezwaar.

Je moet je wel afvragen of je zoiets eigenlijk wel wil. Wat ze van je vragen is dus hardcoded security in een app inbouwen, en jij mag qua design het werk van de applicatie-ontwikkelaar gaan doen in je AD.

Als je het wil testen, kijk dan eens naar ADAM (AD Application Mode) om dat mee te doen?

Tja wat zal ik zeggen.. Ben er ook niet blij mee, maar communicatie is erg moeilijk blijkbaar.
Ze komen er ook pas een week voor acceptatie mee... Dus ik mag er weer wat voor bedenken, met alleen het AD.
Maar het klopt, ik vind het ook vreemd. Als ze hadden gezegt dat ze alleen de gebruikers op basis van het AD toegang zouden willen verlenen, dat is prima. Maar wat ze doen is kijken of iemand lid is van bepaalde groepen. Als dat zo is dan krijgen ze een bepaald scherm te zien binnen de java applicatie. Maar de gehele security wordt dus door het AD geregeld...

Maar ze komen dus in een andere container te staan en dan een andere Pre-2000 naam zou dus moeten werken...

Wat ADAM betreft, dat ken ik niet. Ben dus bang dat er verder geen tijd meer is om dat te bekijken. De applicatie moet 1 December Life en maandag willen ze al testen.
Maar ga zeker kijken naar ADAM.

Al vast bedankt voor je reaktie. Thnks $_/-\o_$

EDIT: Even vergeten de betreffende applicatie is volledig JAVA gebaseerd en draait op een Linux omgeving.

[ Voor 3% gewijzigd door supernova op 06-11-2008 22:33 ]

PS5 User ;-) ...

donderdag 6 november 2008 22:39

Acties:

alt-92

ye olde farte

supernova schreef op donderdag 06 november 2008 @ 22:31:
Tja wat zal ik zeggen.. Ben er ook niet blij mee, maar communicatie is erg moeilijk blijkbaar.
Ze komen er ook pas een week voor acceptatie mee... Dus ik mag er weer wat voor bedenken, met alleen het AD.

Leuk joh

"we fucked up, you fix it!"
Komt vaker voor hoor

Maar het klopt, ik vind het ook vreemd. Als ze hadden gezegt dat ze alleen de gebruikers op basis van het AD toegang zouden willen verlenen, dat is prima. Maar wat ze doen is kijken of iemand lid is van bepaalde groepen. Als dat zo is dan krijgen ze een bepaald scherm te zien binnen de java applicatie. Maar de gehele security wordt dus door het AD geregeld...

De meeste DTAP omgevingen doen het ook zo, alleen zijn daar dan ook echt gescheiden OU's voor en zijn de CN en sAMAccountName gelijk per object.
Ik zie ook niet echt een reden om dat op een dergelijke aparte manier te doen?

Klinkt namelijk alsof die devvers the easy way out kiezen door jou hun probleem te laten oplossen

Wat als er later een wijziging in rollen of groepen moet worden aangebracht in je AD vanwege een overname of fusie, wat dan?

Wat ADAM betreft, dat ken ik niet.

Is standalone te installeren, dus je kan een AD opzetten zonder echte Domain Controller nodig te hebben bijvoorbeeld

.

Ben dus bang dat er verder geen tijd meer is om dat te bekijken. De applicatie moet 1 December Life en maandag willen ze al testen.

Holy...

Succes dan maar

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 6 november 2008 22:55

Acties:

supernova

Zabbix specialist 7 ;-)

Topicstarter

Thnks.... Zal het hard nodig hebben.
Ga nu dus maar een paar OU's aanmaken met dezelfde benamingen er in voor de rechten. Zal wel moeten voor maandag.

Zo iets als

-- Productie
-- Applicatierollen
-- Groep
--Permissie
--Recht1
--Recht2 .... enz
--Acceptatie
--Applicatierollen
--Groep
--Permissie
--Recht1
--Recht2 ..... enz

En dan ook voor Test en opleiding..

En als er veranderingen binnen de rechten zijn, ik weet dat ze letterlijk vanuit de betreffende applicatie exact in de betreffende OU kijken. Dat geven ze binnen de applicatie wel mee.

Dan heb je een idee....

Daarna maar eens kijken of ADAM iets kan betekenen voor ons.

En het blijven 2 aparte volken Programmeurs en systeembeheerders.

PS5 User ;-) ...