lefg 276 Geschrieben 18. Mai 2008 Melden Teilen Geschrieben 18. Mai 2008 Hallo Gemeinde. in die Computerkonten des AD, in das Feld Beschreibung, sollen die Maschinen und die Benutzer per Batch Einträge machen können. Die Batch wird gestartet auf einer Gruppenrichtlinie in der Computer- und im Benutzerkonfiguration. Ich möchte nicht Jeder Zugriff auf das komplette Computerkonto gewähren sondern nur auf das Feld Beschreibung. Wahrscheinlich ist das mit ADEdit oder so zu machen, ich stehe momentan aber total im Nebel. Hat bitte jemand einen Tipp für mich? Habt Dank für Aufmerksamkeit und Rat. Edgar Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. Mai 2008 Melden Teilen Geschrieben 18. Mai 2008 Servus Edgar, Ich möchte nicht Jeder Zugriff auf das komplette Computerkonto gewähren sondern nur auf das Feld Beschreibung. dann musst du die entsprechenden Berechtigungen im Container COMPUTERS für die Benutzer setzen. Das Feld Beschreibung ist im AD das Attribut "description". Hierauf musst du den Benutzern die Berechtigungen Read_Property (RP) sowie Write_Property (WP) setzen. Führe auf dem Container Computers den Objektdelegierungsassistenten aus und wähle einen "benutzerdefinierten Task". Danach wählst du im nächsten Schritt lediglich "Computer-Objekte" und wählst im darauffolgenden Fenster "Beschreibung lesen" sowie "Beschreibung schreiben". Du kannst den Assistenten natürlich auch überspringen und führst das direkt in der DACL (erweiterte Sicherheitseinstellungen im Container Computers) des Container Computers durch. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Mai 2008 Melden Teilen Geschrieben 18. Mai 2008 Hi Edgar, ohne an dieser Stelle auf die Sicherheitsbedenken einzugehen kannst Du verschiedene Wege gehen. Es stehen mehrere GUI Möglichkeiten als auch einige Scripting Möglichkeiten offen. Exemplarisch zwei mögliche Wege: Ich gehe davon aus, daß die Computer Objekte verteilt in der Struktur liegen?Entweder auf CN / OU Level oder falls nötig auf dem Domain Level in der AD User & Computer MMC Rechtsklick --> "Eigenschaften" --> "Sicherheit" Tab --> "Erweitert" --> "Hinzufügen" --> in Deinem Fall dann "Domänen-Computer", "Domänen-Benutzer" und ggf. "Domänen-Admins" etc. hinzufügen (oder welche Sicherheitsprinzipale auch immer) --> dann im folgenden Dialog den Tab "Eigenschaften" wählen, "Computer"-Objekte als Objekttypen auswählen und die Lese- / Schreibberechtigung für die "Eigenschaften" hinzufügen. Auf der Kommandozeile: dsacls "DC=domain,DC=tld" /I:S /G "DOMAIN\Domänen-Benutzer":WPRP;description;computer Ggf. Gruppennamen noch anpassen (deutsch / englisch) und die weiteren gewünschten Gruppen neben den Domänen-Benutzern hinzufügen. [EDIT] Daim war schneller... :) [/EDIT] Viele Grüße olc Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. Mai 2008 Melden Teilen Geschrieben 18. Mai 2008 Auf der Kommandozeile: Off-Topic:Es muss daran liegen, dass ich erst kurz vor dem schreiben meiner Antwort aufgestanden bin. Denn für meinen nächsten Blog-Eintrag beschreibe ich gerade DSACLS, das ich hier nicht erwähnt habe. Wenn meine Maschinen bereits auf Hochtouren gewesen wären und ich das immer noch vergessen hätte zu erwähnen, wäre das schon fast peinlich. ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Mai 2008 Autor Melden Teilen Geschrieben 18. Mai 2008 Hallo Kameraden, ich danke für die Tipps, das wird mich wohl weiterbringen dabei. Leider bleibe ich momentan an einer andern Sache hängen, ein anders Problem in diesen Kontext, ich mache ein anderer Thread draus. Dank und Gruß Edgar Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.