Allgemein

Grundsätzlich gibt es keine besonderen Anforderungen um primedocs mit dem lokalen Active Directory (AD) zu verbinden. primedocs greift zudem nur lesende auf das AD zu, sodass keine Schreibrechte benötigt werden.

Für die Authentifizierung

primedocs kann auf das AD für die Authentifizierung zugreifen und liesst dabei u.A. den displayName, die objectSid (als primäres Identifizierungsmerkmal) und die tokenGroups für Gruppenmitgliedschaftsinformationen aus.
Der Zugriff erfolgt mit dem eingestellten Account des Servers (siehe Installation primedocs-Server).

Bei einer “Standard AD Konfiguration” sind alle benötigten Eigenschaften für alle Benutzer ohne weitere Konfiguration lesbar.

Sollte dies nicht funktionieren, muss sichergestellt werden, dass der Account des Servers Leserechte im AD auf die folgenden Eigenschaften hat:

• objectSid

• displayName

• name

• userPrincipalName

• sAMAccountName

• distinguishedname

• msds-principalName

• tokenGroups (dies ist insbesondere für die Gruppenmitgliedschaftsermittlung notwendig),

• msds-memberOfTransitive (dies ist nötig, wenn Verteilerlisten bei der Gruppenmitgliedschaftsermittlung geladen werden sollen)

Für die Benutzersynchronisation

Über die Benutzersynchronisation kann ebenfalls auf das AD (LDAP / AD) zugegriffen werden.
Je nach Konfiguration geschieht der Zugriff über den Account des Servers oder über den hinterlegten Benutzers. Der Zugriff erfordert ebenfalls wieder lesende Rechte auf die konfigurierten Eigenschaften.

Rechtevergabe

Falls eine Rechtevergabe nötig ist, um die Eigenschaften zu lesen, können Sie im AD die jeweilige Berechtigung z.B. bei allen Benutzern oder in der gesamten Domäne setzen.

Als Hilfsmittel bietet sich u.A. das Kommdozeilentool “dsacls.exe” an.
Im nachfolgenden Beispiel wird die tokenGroups-Eigenschaft für alle Benutzer der OU Users für den Service-Account primedocs_service freigegeben:

dsacls "OU=Users,DC=company,DC=local" /I:S /G "primedocs_service":rp;tokenGroups;user