AD-Attribute verstecken Teil 2 - Leserechte für Confidential Attributes

In einem vorangegangen Artikel Attribute im AD verstecken und eigene Attribute erstellen habe ich bereits erklärt, wie Attribute im AD durch die Markierung confidential versteckt werden können. Dadurch haben nur noch Administratoren Leserechte auf das Attribut.Nun gibt es manchmal die Situation, bei der man ausgewählten Benutzern bzw. Gruppen das Lesen erlauben möchte, ohne Sie gleich zu Administratoren zu machen.

Genau das werde ich im Folgenden erklären:

Das versteckte Attribut

Durch das Verstecken des Attributs MyAttribut wird aus

diese LDAP-Anzeige:

Visible again

Um das Attribut für eine Gruppe Visible wieder sichtbar zu machen, muss der Administrator wie folgt vorgehen:

• ldp.exe öffnen

• über Connection -> Bind... sich mit einem Administrator-Account zum AD verbinden

• über View -> Tree das AD öffnen

• Ein Rechtsklick auf die oberste Ebene -> Advanced -> Security Descriptor öffnet das benötigte Fenster

Hier muss folgendes über Add ACE eintragen werden:

• Trustee: DOMAINVisible

• ACE type: Allow

• Access mask: Control access

• ACE flags: Inherit

• Object type: MyAttribute

Durch das Bestätigen des Dialogs werden die Rechte entsprechend geändert, so dass die Mitglieder der Gruppe Visible das Attribut MyAttribut lesen können, obwohl es als confidential deklariert wurde.