Sicherheit im Active Directory

Das Bearbeiten von Berechtigungen

Beim Bearbeiten von Berechtigungen zeigt sich, wie differenziert man arbeiten kann. Dort finden sich zwei Register. Im Register Objekt finden sich die Berechtigungen auf Objektebene. Dazu gehören auch Berechtigungen, mit denen in vordefinierter Weise mehrere Attribute zusammengefasst werden.

Im Register Eigenschaften finden sich die Berechtigungen für die einzelnen Eigenschaften der Objekte. Neben Alle Eigenschaften lesen und Alle Eigenschaften schreiben gibt es für jedes Attribut zwei Einträge. Mit einem kann das Schreib-, mit dem anderen das Leserecht gewährt werden.

Sehr detailliert: Die Zugriffsberechtigungen im Active Directory können bei Bedarf bis auf die Ebene der einzelnen Attribute definiert werden – was aber meistens weder nötig noch sinnvoll ist.

Im oberen Bereich gibt es neben dem Namen des Objekts die Auswahlliste Übernehmen für. Dort kann festgelegt werden, ob die Berechtigungen nur für das aktuelle Objekt gelten oder vererbt werden sollen. Neben den allgemeinen Vererbungseinstellungen können auch einzelne Objektklassen ausgewählt werden, an die eine Vererbung erfolgen soll.

Die Liste der möglichen Berechtigungen wird jeweils dynamisch generiert. So gibt es bei organisatorischen Einheiten beispielsweise Einträge für eine sehr große Zahl von Objektklassen, die erzeugt werden können. Dagegen finden sich bei Computer- oder Benutzerobjekten nur wenige untergeordnete Objektklassen, weil die meisten Objekte eben nicht auf der Ebene darunter angeordnet werden können.