Tags:
create new tag
, view all tags

Minimale Attribute zum Erstellen eines AD-Accounts

LDAP-Attribut Beispielwert Beschreibung
objectClass top person organizationalPerson user Objektklasse
objectCategory CN=Person,CN=Schema,CN=Configuration,DC=d,DC=ethz,DC=ch Objektkategorie (dn-String)
cn svermeul wie der nethz Username
name svermeul wie der nethz Username
title Frau Anrede (Frau, Herr, ...)
sn Vermeul Nachname
givenName Swen Vorname
displayName Vermeul Swen angezeigter Name
sAMAccountName svermeul Username
userPrincipalName svermeul@ethz.ch 燯sername@dom鋘e, eindeutig 黚er alle "AD-Forests"
userAccountControl 66048, 66050 (account disabled) eine Zahl (bit-encodiert), die bestimmte Voreinstellungen f黵 diesen Account bestimmt. Siehe auch hier.
unicodePwd "streng geheim" Unicode-encodiertes Passwort, in Anf黨rungszeichen. Write-only, kann nur mit einer sicheren Verbindung (SSL) geschrieben werden.

Attribute zum Erstellen eines Mailbox-enabled Users

LDAP-Attribut Beispielwert Beschreibung
msExchPoliciesExcluded {26491CFC-9E50-4857-861B-0CB8DF22B5D7}  
msExchMailboxSecurityDescriptor
AQAEgHgAAACUAAAAAAAAABQAAAAEAGQAAQAAAAACFAADAAIAAQEAAAAAAAUKAAAARABDAD0AZAAv
AEMATgA9AEMAbwBuAGYAaQBnAHUAcgBhAHQAaQBvAG4AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAQUAAAAAAAUVAAAAEZm5eAfplC11uXVUQV4AAAEFAAAAAAAFFQAAABGZuXgH6ZQtdbl1
VEFeAAA=
Wert muss vor dem Schreiben zuerst Base64 decodiert werden
protocolSettings
SU1BUDTCpzHCpzDCpzHCp0lTTy04ODU5LTHCpzDCpzDCpzHCpzA=
IMAP4 settings, Wert muss vor dem Schreiben Base64 decodiert werden
mAPIRecipient TRUE  
homeMDB
CN=MBS-02-1(EX4),CN=STG02(EX4),CN=InformationStore,CN=EX4,
CN=Servers,CN=ETHZ-MDL,CN=Administrative Groups,CN=ETHZ,CN=Microsoft Exchange,
CN=Services,CN=Configuration,DC=d,DC=ethz,DC=ch
Mailstore, d.h. Datenbank, wo sich die Mailbox des Users befindet.
homeMTA
CN=Microsoft MTA,CN=EX4,
CN=Servers,CN=ETHZ-MDL,CN=Administrative Groups,CN=ETHZ,CN=Microsoft Exchange,
CN=Services,CN=Configuration,DC=d,DC=ethz,DC=ch
 
msExchHomeServerName /O=ETHZ/OU=ETHZ-MDL/cn=Configuration/cn=Servers/cn=EX4  
mailNickname svermeul zwingend f黵 Exchange, entspricht dem Usernamen
mail swen@ethz.ch Prim鋜e Mailadresse, Absenderadresse
proxyAddresses SMTP:swen@ethz.ch
smtp:vermeul@ethz.ch
X500:/o=ETHZ/ou=ETHZ-MDL/cn=INFORMATIKDIENSTE/cn=BASISDIENSTE/cn=VERMEUL
Liste aller SMTP-Mailadressen, prim鋜e Emailadresse wird mit einem SMTP: (Grossbuchstaben) gekennzeichnet. Auch Adressen f黵 UM und Lync befinden sich hier, mit den Pr鋐ixen EUM: und SIP:
textEncodedORAddress X400:c=CH;a= ;p=ETHZ;o=ETHZ-MDL;s=Vermeul;g=Swen; X400-Adresse, wird f黵 Forwards ben鰐igt, genauer Nutzen ist unklar, m鰃licherweise nicht mehr relevant.
altRecipient CN=anotheraccount@example.com,OU=ETHZ-MDLContacts,DC=d,DC=ethz,DC=ch Forward auf eine externe Adresse (distinguishedName eines Contact-Objekts)
deliverAndRedirect TRUE / FALSE bei TRUE wird eine Kopie der eingehenden Mail zuerst in der Mailbox gespeichert und die Nachricht danach an den altRecipient weitergeleitet
targetAddress SMTP:anotheraccount@example.com ebenfalls ein Forward, aber ohne deliverAndRedirect-M鰃lichkeit

nethz-spezifische Attribute

LDAP-Attribut Beispielwert Beschreibung
NMID 123456 ID der prim鋜en Emailadresse in der nethz-DB. Wird bei Mailbox-Kontos und Email-Listen verwendet
AGID 123456 ID der Admingruppe, welcher die Liste verwaltet oder welche den Kontakt erstellt hat
GRID 123456 ID der Ngroup in der nethz-DB. Wird beispielsweise von automatisch erzeugten Gruppen verwendet.
adminDescription NPID=66083 (Swen Vermeul) UNAME=vermeul gibt an, wer (resp. welcher cronjob) dieses Konto zuletzt per Admin-Tool modifiziert hat
nethzTask create MBX Auftrag an das Skript von Mathias, f黵 diesen Account eine Mailbox zu erstellen
lyncTask create Lync Service / remove Lync Service Account f黵 Lync aktivieren. Wird von Mathias Skript abgearbeitet und vom Lync-Service verwendet.
unifiedMessagingTask create Unified Messaging Service / delete Unified Messaging Service (Telefonbeantworter auf Exchange) aktivieren. Wird von Mathias' Skript abgearbeitet und vom Phone-Service ben鰐igt.

weitere Exchange-Attribute

Alle diese Attribute k鰊nen von einem Admin direkt im Admin-Tool gesetzt werden. Die Quota-Settings sind m鰃licherweise alle obsolet.

LDAP-Attribut Beispielwert Beschreibung
dLMemSubmitPerms CN=svermeul,OU=EthUsers,DC=d,DC=ethz,DC=ch Legt fest, wer auf einen Mail-Empf鋘ger (Liste oder Mailbox) Mails senden darf. Wird einerseits f黵 die Einschr鋘kung von Sendeberechtigten auf eine Liste verwendet, andererseits zum Sperren des Mail-Accounts verwendet, indem der eigene Distinguished-Name (dn) eingesetzt wird.
protocolSettings IMAP4񗉰1SO-8859-1񖶄񖶄 Beschleunigung des IMAP4-Zugriffs (Public Folders nicht durchsuchen)
targetAddress SMTP:vermeul@gmx.ch Emails werden an diese Emailadresse weitergeleitet (nur sog. OUTBOUND-Adressen)
mDBUseDefaults TRUE / FALSE Bei TRUE werden die Standard-Werte des homeMDB, also des Mailbox-Stores, verwendet. Bei FALSE werden die expliziten Angaben von mDBStorageQuota, mDBOverQuotaLimit und mDBOverHardQuotaLimit genommen
mDBStorageQuota 4718592 Anzahl kB, ab welchen eine Warnung an den User geschickt wird.
mDBOverQuotaLimit 5242880 Anzahl kB, ab welchen keine Mails mehr geschickt werden k鰊nen (STOP OUT)
mDBOverHardQuotaLimit 7340032 Anzahl kB, ab welchen keine Mails mehr empfangen werden k鰊nen (STOP ALL)

POSIX-Attribute

Die Attribute description, unixHomeDirectory und loginShell k鰊nen von einem Admin direkt im Admin-Tool gesetzt werden. gidNumber und uidNumber werden in der Regel vom System selber vergeben.

LDAP-Attribut Beispielwert Beschreibung
objectClass posixAccount, shadowAccount zus鋞zliche Objektklasse f黵 User-Accounts
gecos Vorname Nachname 7-bit ASCII des Vor- und Nachnamens
uid username User-ID, entspricht jeweils dem nethz-Usernamen
description Username f黵 Testzwecke entspricht dem MEMO - Feld bei Uname
gidNumber 1029 1029 zeigt auf die Gruppe Domain Users. Falls die prim鋜e Gruppe ge鋘dert wurde, wird sie entsprechend angepasst
uidNumber 12345 entspricht der ETH-weiten Unix User ID (identisch mit derer im LDAPS)
unixHomeDirectory /nas/username Unix Homeverzeichnis. Gibt an, wo ein User bei einem Login 玪andet.
unixUserPassword {crypt}x wird nicht verwendet und nur auf einen dummy-Wert gesetzt
loginShell /bin/bash standard-Shell in Unix

GAL Attribute

Das eingebaute Telefonbuch (GAL, Global Address List) ben鰐igt ebenfalls einige Attribute, welche von nethz gepflegt werden. Die Details sind hier ersichtlich.

LDAP-Attribut Beispielwert Beschreibung
telephoneNumber +41 44 633 00 00 B黵o Telefonnr.
mobile +41 79 1234 56 78 (Gesch鋐ts- ) Mobile Phone
company ID Software Services Bezeichnung eines der ETH Infrastrukturbereiche. Siehe detailliertere Doku
department Department of Physics Bezeichnung eines ETH Departements. Wird neu ebenfalls automatisch gepflegt.
physicalDeliveryOfficeName HPF G 9.2 B黵o: Adresse (Geb鋟de, B黵o-Nr.)
streetAddress Schafmattstrasse 16 B黵o: Strasse und Nr.
postalCode 8093 B黵o: PLZ
l Zurich B黵o: Ort
co Schweiz B黵o: Land (country)
ou Mitarbeiter Abt. Informatikdienste, ID Basisdienste (00077) multivalue, indexiert. F黵 jede Beziehung, Anstellung und Einschreibung gibt es einen separaten Eintrag. Wird f黵 Adressb點her verwendet, kann aber auch f黵 Autorisierungszwecke oder dynamische Mailverteiler verwendet werden.
msExchHideFromAddressList TRUE 燘ewirkt, dass bei einem updateRecipient das Objekt nicht mehr im GAL angezeigt wird. Hat ansonsten keine Wirkung
showInAddressBook CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=ETHZ,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=d,DC=ethz,DC=ch multivalue, die Distinguished Names aller Adressb點her, in welchen dieser User angezeigt wird. Soll der User generell im GAL angezeigt werden, so muss mindestens der Eintrag f黵 Default Global Address List vorhanden sein.

Adressb點her-Attribute

Diese Attribute stehen nicht in User-Objekten sondern in den Adressb點hern selber. Die diversen Adressb點her findet man unter CN=All Address Lists,CN=Address Lists Container,CN=ETHZ,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=d,DC=ethz,DC=ch respektive unter Admin-Tool %M Root Tasks %M Outlook Adressb點her verwalten.

LDAP-Attribut Beispielwert Beschreibung
purportedSearch (&(mailNickname=*)(objectCategory=person)(objectClass=user)(msExchHomeServerName=*)(!(msExchHideFromAddressLists=TRUE))(ou=Mitarbeiter Informatikdienste*)) Ein LDAP-String, welcher verwendet wird, um ein bestimmtes Adressbuch mit den gew黱schten Usern zu f黮len (respektive deren showInAddressBook Attribut).
msExchQueryFilter ((((((((Alias -ne $null) -and (((((ObjectCategory -like 'person') -and (ObjectClass -eq 'user'))) -and (RecipientType -eq 'UserMailbox'))))) -and (ObjectCategory -like 'user'))) -and (-not(HiddenFromAddressListsEnabled -eq 'True')))) -and ((ou -like 'Mitarbeiter D-INFK') -or (ou -like 'Dozent D-INFK'))) dasselbe wie bei purportedSearch, allerdings in der unleserlichen OPath Syntax

-- Vermeul Swen - 2017-03-27

Topic revision: r10 - 2017-05-11 - SwenVermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback