Bloggat – Att gömma attribut i Active Directory!

Publicerad 6 september 2018 i Blogginlägg

Roger Månsson, Advitum

Så länge Active Directory har funnits har det funnits ett behov att ”gömma” vissa attribut i AD för vanliga slutanvändare. Anledningen har ofta varit känslig information såsom mobilnummer, personnummer, anställningsnummer osv. Genom åren har också en stor mängd kreativa lösningar för att uppnå detta nyttjats och beskrivits i olika bloggar och forum. Som standard har nämligen alla användare rättighet att se alla attribut på exempelvis sitt eget användarobjekt i AD, en funktion som kanske inte alltid är önskvärd.

Vi på Advitum förspråkar användandet av funktionen ”Confidentiality Bit” som introducerades redan i Windows Server 2003 SP1. Med funktionen kan selektivt vissa attribut gömmas för vissa användare.

Hur fungerar Active Directory Confidentiality Bit?

Övergripande kan man beskriva det som att man justerar ett objeklt i ADs schema. AD Schema kan övergripande beskrivas som regelverket för hur AD fungerar och vilka objekt som finns och kan skapas. Man ändrar helt enkelt ett värde på ett attribut så att attributet definieras som confidential.

Efter att man definierat ett attribut som confidential måste man sedan ge de användare som ska kunna läsa attributet rättigheten CONTROL_ACCESS.

Det man i praktiken gör för att konfigurera Confidentiality Bit är att ändra värde searchFlags till 128 på attributet, se nedan.

Att tänka på?

Vad är då viktigt att tänka på när man vill skydda ett eller flera attribut med denna metod

Metoden fungerar inte med base schema attributes
Metoden med confidentiality bit fungerar endast med de 10% av attirbuten som inte tillhör base schema attributes. Dessa benämns som Category 1 attributeSchema och detta kan med fördel kontrolleras med exempelvis inbyggda verktyget ldp.exe.

Vad gör man då om man vill spara men inte visa exmeplvis anställningsnummer i AD?
I AD finns två olika attribut som är relevanta, nämligen employeeID och employeeNumber. employeeID är category 1 medan employeeNumber INTE är category 1 så lösningen är i det fallet att använda employeeNumber.

Tveka inte att kontakta oss för en diskussion om ni har behov av att gömma attribut i AD.

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.