Active-Directory-Suche für User beschneiden
Problem:
Mit der LANiS-LDAP-Schnittstelle werden Userinformationen aus dem LANiS-FTP-Server ins Active-Directory übertragen, die datenschutzrechtlich nicht unbedenklich sind, wie z.B. Geburtsdatum, Klassenzugehörigkeit. Unter Windows 7 können Schüler auf den Client-PCs über die Active-Directory-Suche diese Informationen auslesen:
Lösung:
Es besteht die Möglichkeit, den Zugriff auf ausgewählte Bereiche das Active-Directorys einzuschränken, sodass auch mit anderen LDAP-Tools die Informationen nicht ausgelesen werden können.
1. ADSIEditor einrichten
Starten Sie am Server unter "Ausführen" den ADSI-Editor durch den Aufruf "adsiedit.msc":
Stellen Sie durch Rechtsklick auf "ADSI-Editor"...
... eine Verbindung...
... zu Ihrem Domänencontroller her.
Klappen Sie anschließend das Active-Directory bis zu den Organisationseinheiten "OU=Lehrer" und "OU=Schüler" unterhalb von "LANiS-Ldap" auf:
2. OU-Lehrer konfigurieren
Editieren Sie mit der rechten Maustatse die Eigenschaften des Zweigs: "OU=Lehrer" und klicken Sie auf den Reiter "Sicherheit":
Fügen Sie alle Ihre Raumgruppen hinzu...
... im Beispiel existiert nur der Raum C01...
und setzen Sie das Leserecht jeweils auf "Verweigern":
Dies ist - je nachdem wie viele Räume Sie angelegt haben - einige Handarbeit.
Bestätigen Sie anschließend die Sicherheitseinstellungen und die Warnung mit Klick auf "OK" bz. "Ja":
3. OU-Schüler konfigurieren
Führen Sie das gleiche Prozedere - wie in Kapitel 2 beschrieben - nun für den Zweig "OU=Schüler" durch.
4. Test
Anschließend testen Sie bitte auf einem Schülerclient die Active-Directory-Suche. Es sollten nun keine Lehrer und Schüler mehr sichtbar sein.