Phoenix (Jan) 10 Geschrieben 4. September 2003 Melden Teilen Geschrieben 4. September 2003 Hallo zusammen!!! Ich möchte einem Benutzer in einem Netzwerk "Win2k Domäne" die möglichkeit geben die Passwörter einer bestimmten gruppe zu ändern. Das er bestimmte Rechte dafür haben muss ist soweit klar. Aber ich möchte im nicht mit der MMC Konsole die komplette Active Directory Verwaltung überlassen. Gibt es vielleicht ein Snap In welches nur das zurücksetzen eines Benutzerkontos ermöglicht. Viele Grüße JAN Zitieren Link zu diesem Kommentar
Phoenix (Jan) 10 Geschrieben 4. September 2003 Autor Melden Teilen Geschrieben 4. September 2003 soweit so gut habe es jetzt schon soweit gebracht das ich auf dem server die konten zurück setzen kann. allerdings läuft diese console nicht auf den client ?? Hat eine ne Idee ?? Gruß Jan Zitieren Link zu diesem Kommentar
Whitewater 10 Geschrieben 5. September 2003 Melden Teilen Geschrieben 5. September 2003 Hi, du kannst dir für spezielle Aufgaben der einzelnen Benutzer ein sogenanntes Taskpad definieren...hast du das schonmal probiert? Müsste eigentlich auch in der Hilfe beschrieben stehen. Mfg, Whitewater Zitieren Link zu diesem Kommentar
Phoenix (Jan) 10 Geschrieben 16. September 2003 Autor Melden Teilen Geschrieben 16. September 2003 Danke für deine Anwort aber ich habe es auch schon alleine in Griff bekommen. Das man Taskpads erstellen kann wußte ich auch schon. Aber ich habe angenommen das ich einem User die MMC zur verfügung stellen kann ohne den Terminal Client zu benutzen. Tja ich hab dafür noch keine Lösung gefunden. Auch nicht wie ich den Snap In für den isa Server auf andere Server oder pc übertragen kann. Gruß Phoenix Zitieren Link zu diesem Kommentar
aba 10 Geschrieben 16. September 2003 Melden Teilen Geschrieben 16. September 2003 Wenn ein Benutzer von seinem Client aus die Benutzer in der AD verwalten soll, mußt Du ihm zusätzlich zum Taskpad noch die "Administrationsprogramme" installieren -> adminpak.msi im "\i386" von der Server-CD. Zitieren Link zu diesem Kommentar
Phoenix (Jan) 10 Geschrieben 17. September 2003 Autor Melden Teilen Geschrieben 17. September 2003 Soweit so gut allerdings habe ich das mit administrator Pack auch schon etwas früher ausprobiert. Allerdings man möge mich berichtigen wenn ich falsch liege bin ich der Meinung das ich damti dem Benutzer Administrative Rechte im Active Directory verschaffe. Er kann dann von alleine seine MMC Konsole dazu benutzen und wie er möchte einstellen. Er kann auch als normaler Benutzer im Active Directory Benutzer usw löschen erstellen wie er möchte. Wie gesagt das habe ich selber ausprobiert, deshalb habe ich mich auch für die Terminal anwendung entschieden. Da kann ich bestimmen das ich nur die MMC konsole aufmachen möchte nicht mehr und die zu beschränken ist nicht das Ding. Aber danke für die Vorschläge !!! Allerdings sollte man vom installieren des Admin Packs auf Client´s Abstand nehmen es sei den man definiert noch genaue Regel dafür !! Gruß JAN Zitieren Link zu diesem Kommentar
aba 10 Geschrieben 17. September 2003 Melden Teilen Geschrieben 17. September 2003 Original geschrieben von Phoenix (Jan) ... Allerdings man möge mich berichtigen wenn ich falsch liege bin ich der Meinung das ich damti dem Benutzer Administrative Rechte im Active Directory verschaffe. ... Nur durch die Installation des adminpak.msi auf dem Client, bekommt der Benutzer keinerlei adminstrative Berechtigung innerhalb der AD!!! Wer was in der AD darf (z.B. Objekte anlegen, Passwörter ändern, ...), wird über die DACLs der jeweiligen Objekte geregelt (vergleichbar mit den ACLs im NTF-Dateisystem). Original geschrieben von Phoenix (Jan) ... Er kann auch als normaler Benutzer im Active Directory Benutzer usw löschen erstellen wie er möchte. ... Könnte es vielleicht sein, dass die "normalen Benutzer" etwas viel Berechtigungen in "deiner" AD-Domäne haben? Standard ist für Domänen-Benuzter /Authentifizierte Benutzer eigentlich nur Lese-Recht auf die Objekte. Die DACLs in der Domäne kann man auf 2 Wegen ändern: # "kreative direkt in der DACL über Sicherheitseinstellungen". # Mit dem Assistenten -> Objekt mit der rechten Maustaste anklicken und auf "Objektverwaltung delegieren" anklicken. Die Vorgehensweise per Assistent wird von MS empfohlen, die Berechtiguntgen innerhalb der DACLs sind recht komplex. Zitieren Link zu diesem Kommentar
Phoenix (Jan) 10 Geschrieben 18. September 2003 Autor Melden Teilen Geschrieben 18. September 2003 Tja das ist das Problem ich habe halt ne andere Erfahrung gemacht. Meine Benutzer haben auch keine weitergehenden Rechte in der Domäne allerdings können sie halt wenn sie über die MMC Konsole das Active Directory Snap in zur Verfügung haben benutzer anlegen und löschen. Hast wohl recht das es dafür noch Policy´s gibt die ich speziell dafür einstellen muss, aber mein Benutzer hat nur die Standart Rechte. Aber dennoch wenn ich möchte das z.b ein Lehere die Passwörter seine Schüler zurück setzen kann braucht er die passenden Rechte dafür. Wenn er diese aber hat und sie die MMC Konsole selber aufbauen kann ohne die die ich ihm vorgebe kann er noch wesentlich mehr verändern. Ich habe das ganze jetzt mit einem Terminal Server gelöst dort kann ich ihm eine MMC Konsole vorgeben wo er nur die Schüler aus seiner Gruppe sieht und nur die Passwörter zurück setzen kann. Aber dennoch danke für deine Antwort !!!! ;) Gruß JAN :suspect: Zitieren Link zu diesem Kommentar
aba 10 Geschrieben 18. September 2003 Melden Teilen Geschrieben 18. September 2003 Na dann kannst Du nur hoffen, dass kein Benutzer Deines Netzwerks auf die Idee kommt, dass adminpak.msi selbst zu installieren (das gibt es im Netz auch als Download). Das ein "normaler" Benutzer Konten in der AD anlegen und/oder verändern kann, ist auf jeden Fall nicht Standard!!! Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 18. September 2003 Melden Teilen Geschrieben 18. September 2003 Hi. Wissen ist Macht! Weitergeben von Wissen schafft Lösungen! Das Taskpad muss im Servergespeicherten Profil des Benutzers liegen (Desktop) und kann bis auf einen Menubefehl eingerichtet werden. Also nur Password zurücksetzen und nicht löschen oder anlegen von Benutzern. Günter Zitieren Link zu diesem Kommentar
Phoenix (Jan) 10 Geschrieben 19. September 2003 Autor Melden Teilen Geschrieben 19. September 2003 Ok werde mich mal mit den policy´s etwas auseinander setzen. Ist schon richtig wenn einer auf die Idee kommt das selber zu installieren wäre das schon etwas schlecht. Allerdings haben dazu auch nur wenige die Möglichkeit. Aber das ganze einzurichten scheint mir immernoch ein größere Aufwand zu sein als das ganze im Terminal Modus laufen zu lassen. Ich bedanke mich noch mal und wünsche allen einen schönen Tag. Gruß Phoenix :D Zitieren Link zu diesem Kommentar
Josh16 10 Geschrieben 21. Oktober 2003 Melden Teilen Geschrieben 21. Oktober 2003 Hi, hatte ein ähnliches Problem. Ich hab das wie folgt gelöst: Hab zuerst das Gewünschte mmc Snap-in geladen. Dann hab ich mir zu der benötigten OU das Taskpad und einen Eintrag in den Favoriten angelegt. Anschliesend kannst du über das Menü "Anpassen" alles ausblenden, sodass der benutzer keine Möglichkeit hat in irgendwelche anderen Ordner zu wechseln. Zum Schluss unter "Konsole " auf "Optionen" und da den Konsolenmodus wie gewünscht einstellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.