AD Active Directory Berechtigungen und Schemaerweiterung

Knowledgebase

ixi-UMS Business (3) ProCall Enterprise (15)

Knowledgebase

Posted by Nicolai Hanisch on 26 June 2018 04:23 PM

Fragestellung:

Betroffene Version	ProCall Enterprise 6.x/5.x
Typ	Konfiguration
Stichwörter:	AD,Schema,Schemaerweiterung,Attribut,Active Directory,Schreibzugriff,Berechtigung,UCServer, ExtensionName,Berechtigungen,Schemareferenz

Die Benutzerverwaltung soll im Active Directory genutzt werden, dem UCServer aber nicht globale Schreibrechte für das Active Directory eingeräumt werden. Für welche AD Felder sind Schreibrechte notwendig?

Dieser Artikel erklärt, welche Lese- bzw. Schreibrechte der UCServer in Abhängigkeit von einer ggf. durchgeführten Schemaerweiterung benötigt. Der Artikel zeigt ausserdem, wie unterschiedliche ProCall Versionen und Active Directory Schemaerweiterung kombiniert werden können.

Lösung:

Grundsätzlich ist zu unterscheiden, ob die estos Schemaerweiterung im Einsatz ist und ob Schreibzugriff auf die AD Standardattribute gewährt wird.

Die folgende Übersicht zeigt die Konfigurationsmöglichkeiten für die Zugriffsrechte des UCServers auf das Active Directory:

Ausführliche Übersicht der Attribute

ProCall 6	ProCall 5	ProCall 4	Attribute	Type	Read/Write	Standard	Extended

X	X	X	extensionName	String	Read/Write	X
X			proxyAddresses	String	Read/Write	X

			objectClass computer:
X	X	X	sAMAccountName	String	Read	X
X	X	X	distinguishedName	String	Read	X
X	X	X	objectGUID	String	Read	X
X	X	X	ectisrv3CTIEnabled	Integer	Read/Write		X
X	X	X	ectisrv3SchemaVersion	Integer	Read/Write		X
X	X	X	ectisrv3CTIPhonePrimary	String	Read/Write		X
X	X	X	ectisrv3CTIPhoneSecondary	String	Read/Write		X
X	X	X	ectisrv3CTILinesPermissions	String	Read/Write		X
X	X	X	ectisrv3CTILines	String	Read/Write		X
X	X	X	ectisrv3ComputerPassword	String	Read/Write		X
X			ectisrv3PropertyBag	String	Read/Write		X

			objectClass user:
X	X	X	sAMAccountName	String	Read	X
X	X	X	userPrincipalName	String	Read	X
X	X	X	distinguishedName	String	Read	X
X	X	X	objectGUID	String	Read	X
X	X	X	givenName	String	Read	X
X	X	X	sn	String	Read	X
X	X	X	displayName	String	Read	X
X	X	X	mail	String	Read	X
X	X	X	telephoneNumber	String	Read/Write	X
X	X	X	otherTelephone	String	Read/Write	X
X	X	X	homePhone	String	Read/Write	X
X	X	X	mobile	String	Read/Write	X
X	X	X	company	String	Read/Write	X
X	X	X	title	String	Read/Write	X
X	X	X	physicalDeliveryOfficeName	String	Read/Write	X
X	X	X	streetAddress	String	Read/Write	X
X	X	X	postalCode	String	Read/Write	X
X	X	X	l	String	Read/Write	X
X	X	X	st	String	Read/Write	X
X	X	X	co	String	Read/Write	X
X	X	X	wWWHomePage	String	Read/Write	X
X	X	X	thumbnailPhoto	String	Read/Write	X
X	X	X	proxyAddresses	String	Read/Write	X
X	X	X	ectisrv3CTIEnabled	Integer	Read/Write		X
X	X	X	ectisrv3SchemaVersion	Integer	Read/Write		X
X	X	X	ectisrv3UserSipUri	Integer	Read/Write		X
X	X	X	ectisrv3CTIPhonePrimary	String	Read/Write		X
X	X	X	ectisrv3CTIPhoneSecondary	String	Read/Write		X
X	X	X	ectisrv3UserPhoneMailbox	String	Read/Write		X
X	X	X	ectisrv3UserPhoneRecordingServer	String	Read/Write		X
X	X	X	ectisrv3CTILinesPermissions	Integer	Read/Write		X
X	X	X	ectisrv3CTILines	String	Read/Write		X
X	X	X	ectisrv3CTIServices	Integer	Read/Write		X
X			ectisrv3CTIServices2	Integer	Read/Write		X
X	X	X	ectisrv3UserPassword	String	Read/Write		X
X	X	X	ectisrv3UserPermissions	Multivalue String	Read/Write		X
X	X	X	ectisrv3PropertyBag	String	Read/Write		X
X	X	X	ectisrv3UserHomeServer	String	Read/Write		X

			objectClass group:
X	X	X	sAMAccountName	String	Read	X
X	X	X	distinguishedName	String	Read	X
X	X	X	objectGUID	String	Read	X
X	X	X	member	String	Read/Write	X
X	X	X	mail	String	Read	X
X	X	X	ectisrv3CTIEnabled	Integer	Read/Write		X
X	X	X	ectisrv3SchemaVersion	Integer	Read/Write		X
X	X	X	ectisrv3CTIServices	Integer	Read/Write		X
X			ectisrv3CTIServices2	Integer	Read/Write		X
X	X	X	ectisrv3GroupLeaderDN	String	Read/Write		X
X	X	X	ectisrv3GroupDeputyDN	String	Read/Write		X
X	X	X	ectisrv3GroupLeaderPermissions	String	Read/Write		X
X	X	X	ectisrv3GroupMembersPermissions	String	Read/Write		X
X			ectisrv3UserSipUri	Integer	Read/Write		X
X			ectisrv3PropertyBag	String	Read/Write		X

Konfiguration des Write Access für Standardattribute im UCServer

Der Schreibzugriff auf AD Standardattribute kann wie folgt aktiviert (Standard) bzw. deaktiviert werden:

Weitere Infos zur Schemaerweiterung und die Verwendung der Active Directory Schemaerweiterung Tools von estos finden Sie in diesem HowTo-Artikel: https://helpdesk.estos.de/Knowledgebase/Article/View/149/0/howto-estos-active-directory-tools

Hinweise zur Schemareferenz finden Sie in der Dokumentation der jeweiligen ProCall Version:

ProCall 6.2: http://help.estos.com/help/de-DE/procall/6.2/adsnapin/dokumentation/snapin/IDH_ADSCHEMA.htm?_ga=2.160613309.1669894639.1554104722-1076826378.1501587203

ProCall 6.1: http://help.estos.com/help/de-DE/procall/6.1/adsnapin/dokumentation/snapin/IDH_ADSCHEMA.htm

ProCall 6.0: http://help.estos.com/help/de-DE/procall/6.0/adsnapin/dokumentation/snapin/IDH_ADSCHEMA.htm

ProCall 5: http://help.estos.com/help/de-DE/procall/5/adsnapin/dokumentation/snapin/IDH_ADSCHEMA.htm

Hinweis:

Eine einmal installierte Schemaerweiterung kann nicht wieder zurückgenommen werden!

Wird keine Schemaerweiterung verwendet, benötigt der Benutzer, der über den UCServer auf das AD zugreift, Schreibberechtigung auf extensionName und proxyAddresses.
Bitte beachen Sie: Bei Nutzung des Attributs extensionName können möglicherweise Performance-Einbußen auftreten, da das Attribut extensionName nur ein Feld ist, in dem bei jeder Anfrage eine Volltextsuche durchgeführt werden muss.

Häufig gestellte Fragen zur Kombination von Schemaerweiterung mit unterschiedlichen ProCall Versionen:

Ist es möglich, ein Active Directory in eine ProCall Enterprise 6 Installation zu integrieren, das mit der Schemaerweiterung aus ProCall Enterprise 4 läuft?

Antwort: Nein.
Dies ist nicht möglich, da der UCServer von ProCall Enterprise 6 einige neue Felder benutzt, die in vorhergehenden Versionen nicht verfügbar waren.

Ist es möglich, ein Active Directory in eine ProCall Enterprise 5 Installation zu integrieren, das mit der Schemaerweiterung aus ProCall Enterprise 4 läuft?

Antwort: Nicht empfohlen.
Dies wäre prinzipiell möglich, da keine neuen Felder im Update von ProCall Enterprise von Version 4 auf 5 hinzugekommen sind. estos empfiehlt ausdrücklich, die Schemaerweiterung von estos ProCall Enterprise 5 durchzuführen, um mögliche Fehlerquellen auszuschließen.

Ist es möglich, ein Active Directory in eine ProCall Enterprise 5 Installation zu integrieren, das mit der Schemaerweiterung aus ProCall Enterprise 6 läuft?

Antwort: Nicht empfohlen.
Dies wäre prinzipiell möglich, da in der Schemaerweiterung von ProCall Enterprise beim Versionswechsel lediglich Felder hinzukamen. Dieses Szenario ist von estos nicht empfohlen und wird nicht supported.

Ist es möglich, mit zwei oder mehreren UCServern des gleichen Versionsstandes parallel ein Active Directory zu nutzen?

Antwort: Ja.
Dies ist grundsätzlich möglich. Wichtig ist hierbei, dass es sich um zwei getrennte ProCall Enterprise Installationen handelt und es keine Überschneidungen gibt z.B. bei Präsenzdomänen oder bei übergreifenden Berechtigungen auf User-/Gruppen-Ebene.

War dieser Artikel hilfreich?

Wir möchten unseren Service kontinuierlich verbessern. Sollten Ihnen Informationen fehlen bzw. Ihnen Fehler in diesem Artikel auffallen, nehmen Sie bitte Kontakt mit uns auf.

Attachments
Attachments

schreibzugriff_erlauben.jpg (191.83 KB)

ad_schema.jpg (62.32 KB)

(2 vote(s))

This article was helpful

This article was not helpful

Comments (0)

Post a new comment Reply to comment
Post a new comment Reply to comment

Full Name:
Email:
Comments:

CAPTCHA Verification
CAPTCHA Verification

Please enter the text you see in the image into the textbox below. This is required to prevent automated registrations and form submissions.