Active-Directory-Suche für User beschneiden

Problem:

Mit der LANiS-LDAP-Schnittstelle werden Userinformationen aus dem LANiS-FTP-Server ins Active-Directory übertragen, die datenschutzrechtlich nicht unbedenklich sind, wie z.B. Geburtsdatum, Klassenzugehörigkeit. Unter Windows 7 können Schüler auf den Client-PCs über die Active-Directory-Suche diese Informationen auslesen:

Lösung:

Es besteht die Möglichkeit, den Zugriff auf ausgewählte Bereiche das Active-Directorys einzuschränken, sodass auch mit anderen LDAP-Tools die Informationen nicht ausgelesen werden können.

1. ADSIEditor einrichten

Starten Sie am Server unter "Ausführen" den ADSI-Editor durch den Aufruf "adsiedit.msc":

Stellen Sie durch Rechtsklick auf "ADSI-Editor"...

... eine Verbindung...

... zu Ihrem Domänencontroller her.

Klappen Sie anschließend das Active-Directory bis zu den Organisationseinheiten "OU=Lehrer" und "OU=Schüler" unterhalb von "LANiS-Ldap" auf:

2. OU-Lehrer konfigurieren

Editieren Sie mit der rechten Maustatse die Eigenschaften des Zweigs: "OU=Lehrer" und klicken Sie auf den Reiter "Sicherheit":

Fügen Sie alle Ihre Raumgruppen hinzu...

 ... im Beispiel existiert nur der Raum C01...

und setzen Sie das Leserecht jeweils auf "Verweigern":

Dies ist - je nachdem wie viele Räume Sie angelegt haben - einige Handarbeit.

Bestätigen Sie anschließend die Sicherheitseinstellungen und die Warnung mit Klick auf "OK" bz. "Ja":

3. OU-Schüler konfigurieren

Führen Sie das gleiche Prozedere - wie in Kapitel 2 beschrieben - nun für den Zweig "OU=Schüler" durch.

4. Test

Anschließend testen Sie bitte auf einem Schülerclient die Active-Directory-Suche. Es sollten nun keine Lehrer und Schüler mehr sichtbar sein.