Laden...

Benutzersteuerung über Active Directory

Letzter Beitrag vor 14 Jahren 5 Posts 1.668 Views
Benutzersteuerung über Active Directory

Hallo,

bei einem kleinem WebProjekt soll die Zugriffsteuerung über die Active Directorygeregelt werden. Sprich in der AD soll definiert werden, welcher User Zugriff hat.

Hier stellt sich die Frage wie man das in der AD am besten abbildet. Sollte das über eine Gruppe im AD geregelt werden, oder über eine Gruppenrichtlinie ( wenn das überhaupt geht ). Ich bin leider, was die AD angeht nicht soooo bewandert. Oder gibts da noch ganz andere wege?

Gruß und guten Start in die Woche

Ali-T

bei einem kleinem WebProjekt soll die Zugriffsteuerung über die Active Directorygeregelt werden.

Sei dir bewusst, dass diese Zugriff natürlich innerhalb der Domain funktioniert. Über Internet hast du so keine Chance, den Anwender zu authentifizieren.

Wenn du IIS nutzt, kannst du die DirectorySecurity für das virtuelle Web anpassen, und z.B. einfach nur einer AD-Gruppe Recht geben. Ist der authentifizierte Domain User in der Gruppe im AD definiert, kriegt er Zugriff... ganz analog zu den Dateiberechtigungen unter Windows.

Wenn das Rechtesystem allerdings über das Prinzip hinausgehen soll, ob der Benutzer Zugriff haben soll oder nicht, kommst du mit AD allein wohl nicht ganz weit.

Vielen Dank erstmal,

das bringt mich schon weiter. Das der Zugriff nur aus der Domain funktioniert ist mir bewusst.
Ja, es wird IIS genutzt - und die grundsätzliche Steuerung ob ein User Zugriff hat oder nicht reicht erstmal. Und das kann ja der ISS mit der AD alleine Regeln - danke für den Hinweiss 😉

Momentan ist das Scenario dann so, das der User in dem Projekt dann noch eigene Rechte zugeteilt bekommt, je nachdem was er sehen darf / soll. Das wird dann dort im Projekt geregelt. Oder gibts da auch noch irgendwelche tollen Möglichkeiten das über die AD zu regeln?

Das wird dann dort im Projekt geregelt. Oder gibts da auch noch irgendwelche tollen Möglichkeiten das über die AD zu regeln?

Das sollte imho auch so sein. Sinnvoll ist immer ein Rollenkonzept zu implementieren, d.h. ein User wird einer oder mehreren Rollen zugeteilt, und erbt somit die jeweiligen einzelnen Rechte jeder Rolle. An jeder Rolle können dann wieder mehrere Rechte haften. Das Rollenprinzip hat den Vorteil, dass du nicht jedem Benutzer immer alle nötigen Rechten einzeln zuweisen musst, was gerade im Bezug auf Wartung sehr sinnvoll ist. Wenn du das Ganze in einer Datenbank wartest, reichen dir Tabellen wie User, Role, UserRole, Policy und RolePolicy aus, um diese Verbindungen herzustellen.

Über AD direkt würde ich sowas nicht lösen, da es dafür nicht konzipiert ist. Du könntest zwar die AD Gruppen als eine Art Rolle betrachten, und die Usermitgliedschaft daraufhin prüfen, aber du kannst keine individuellen Rechte an eine Gruppe hängen. Darüber hinaus ist das AD auch noch verschachtelt (Gruppen können in Gruppen enthalten sein): das könnte zwar für ein Rechtesystem auch interessant sein, aber da musst du dann höllisch darauf achten, die Rechteüberprüfung rekursiv durchzuführen. Nach meiner Erfahrung verkompliziert sowas lediglich das Ganze, und benötigt hab ich es bislang auch noch nicht.

Vielen Dank für deine Hilfe,

da bin ich jetzt im Bilde - und die Umsetzung ist auch kein Problem - bzw. steht sowieso fast schon - da hab ich das in meiner "Unwissenheit" ja sowieso richtig gemacht 😉

Also wünsche dir noch eine schöne Woche.

Gruß