Jump to content

Zugriffsrechte delegieren zum aktivieren/deaktivieren von Benutzern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

 

welche Zugriffsrechte muss ich delegieren, um einen anderen Windows-Benutzer zu erlauben, den Benutzeraccount EINES Users zu aktivieren und zu deaktivieren? Kennwort zurücksetzen ist klar .. aber das?

 

 

Danke

Canni

Geschrieben
Hallo zusammen,

 

welche Zugriffsrechte muss ich delegieren, um einen anderen Windows-Benutzer zu erlauben, den Benutzeraccount EINES Users zu aktivieren und zu deaktivieren? Kennwort zurücksetzen ist klar .. aber das?

 

 

Danke

Canni

 

Schau dir mal die folgenden Artikel an:

Active Directory Aufgaben Delegation

Menüleiste - Gruppenrichtlinien

 

Das sollte dir den Ansatz geben.

 

Bye

Norbert

  • 1 Monat später...
Geschrieben

Servus,

 

es gibt nicht NUR das Recht für zum aktivieren bzw. deaktivieren eines Benutzerkontos.

Die Kontooptionen werden alle samt über das Attribut userAccountControl gesteuert, das sich aus einer Bitmaske zusammensetzt, wie der folgende Artikel es zeigt:

 

User-Account-Control Attribute (Windows)

How to use the UserAccountControl flags to manipulate user account properties

 

Du kannst lediglich die gesamten Kontoopptionen delegieren und nicht ein einzelnes Recht in den Kontooptionen. Dazu musst du in der DACL (in den erweiterten Sicherheitseinstellungen) des Containers das Lese- sowie Schreibrecht den Benutzern für das userAccountControl gewähren.

 

Also z.B. Rechtsklick auf den Standardcontainer USERS - Eigenschaften - Reiter Sicherheit (der Reiter Sicherheit erscheint nur, wenn unter Ansicht die Option "Erweiterte Funktionen" aktiviert ist) - dann fügst du dort den Benutzer, besser die Gruppe hinzu - klickst unter auf Erweitert - wählst den Benutzer/Gruppe aus und klickst Bearbeiten - klickst dort auf den Reiter Eigenschaften - im Feld "Übernehmen für" wählst du Benutzer-Objekte aus - und aktivierst dort "userAccountControl lesen und schreiben".

 

Dann hat derjenige das Recht die Kontooptionen für den kompletten Container bzw. OU zu verändern.

Das delegieren dieses Rechts, zum verändern der Kontooption lediglich einer einzigen Person ist nicht möglich.

 

 

Oder du wählst im Objektdelegierungsassistenten einen "Benutzerdefinierten Task" und wählst als Objekttyp "Benutzer-Objekte".

Im nächsten Fenster wählst du dann die Option "Lesen und Schreiben Kontobeschränkungen" aus.

Am Ende kommt das gleiche raus, es ist nur der Weg begleitet vom Assistenten.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...