Jump to content

Delegierung ADS

mc02000

Von mc02000
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

mc02000 Fellow

mc02000   10

Geschrieben
Geschrieben

Hallo ADS Cracks.

 

Hat jemand eine Idee,

wie man folgendes delegieren kann?

 

Delegierung von "Computerobjekten" in der OU "Computers"

 

Die Subadmins sollen nun die "Computerobjekte" in ihren

Zweig verschieben können sowie das "Beschreibungsfeld"

der "Computerbojekts" bearbeiten können.

 

 

Vielleicht hat da ja jemand eine Idee von euch,

welches Option / Objekt für diese Option zuständig ist.

 

 

Gruß

mc

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

Die Subadmins sollen nun die "Computerobjekte" in ihren Zweig verschieben können

 

- es muss das Recht DELETE CHILD (DC) in dem Quell-Container gesetzt werden.

- es muss das Recht WRITE PROPERTIES (WP) für die beiden Eigenschaften RDN sowie CN auf dem Quell-Container gesetzt werden.

- es muss das Recht CREATE CHILD (CC) auf dem Ziel-Container gesetzt werden.

 

Du solltest das ganze mit DSACLS durchführen.

 

 

sowie das "Beschreibungsfeld" der "Computerbojekts" bearbeiten können.

 

Schau dir dazu in diesem Artikel unterhalb von DSACLS den Befehl an:

 

Yusuf`s Directory - Blog - Objektdelegierungen einrichten

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.045

Geschrieben
Geschrieben

ich vermute mal, Du möchtest bestimmten Usern oder Gruppen erhöhte Rechte erteilen. Dann Rechtsklick auf die OU und Aufgaben delegieren.

 

Ja, nur welche? ;)

 

@OP du mußt die delegwiz.inf anpassen, wenn du es direkt als Wizard ausführen willst. Ansonsten einfach die Berechtigungen unten manuell zusammenklicken.

 

;---------------------------------------------------------

[template14]

AppliesToClasses=domainDNS,organizationalUnit,container

 

Description="Ermöglicht das Verschieben von Computerkonten"

 

ObjectTypes=SCOPE, computer

 

[template14.SCOPE]

computer=CC,DC

 

[template14.computer]

name=RP,WP

cn=RP,WP

 

;----------------------------------------------------------

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.045

Geschrieben
Geschrieben
Leider kann ich mit deinen Infos nicht all zu viel anfangen.

 

Schlecht.

Welche Haken muss ich denn setzen bzw.

wo finde ich die Datei "delegwiz.inf"

 

Auf jedem Server der das Adminpak installiert hat. Und du mußt sie dort anpassen, wo du den neuen Task einfügen willst. Also bspw. auf deinem Admin-PC.

 

Ist diese Datei direkt für die komplette ADS (also einmalig),

oder gibt es diese Datei für jede OU etc.

 

Nee. Das Ding gilt für alle, ist aber nur auf dem Server/PC vorhanden, wo du sie geändert hast.

How to customize the task list in the Delegation Wizard

 

Bye

Norbert

 

PS: Es wäre jetzt zuviel verlangt gewesen, wenn du einfach mal nach der Datei (in google, und auf einem Server) gesucht hättest?

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
...bzw. wo finde ich die Datei "delegwiz.inf"

 

Warum suchst du nicht auf dem Server danach?

 

Die delegwiz.inf Datei befindet sich unter Windows 2000 sowie Windows Server 2003 im Verzeichnis %windir%\Inf und unter Windows Server 2008 im Verzeichnis %windir%\System32.

 

 

Ist diese Datei direkt für die komplette ADS (also einmalig),

oder gibt es diese Datei für jede OU etc.

 

Diese Datei gibt es einmal pro DC. Die einzelnen Möglichkeiten die einem der Delegierungsassistent dem Administrator bietet, stammen aus der delegwiz.inf Datei. Das ist eine ganz normale Textdatei die jederzeit verändert werden kann. Den Weg in dem du dir die Berechtigungen einzelnen zusammenklicken kannst, habe ich dir erläutert. Dieses machst du in den erweiterten Sicherheitseinstellungen des Containers bzw. Objekts.

 

Anstatt die Berechtigungen einzeln auszuwählen, also so wie ich es beschrieben hatte, kannst du auch die Berechtigungen einmalig in die delegwiz.inf eintragen und kannst für die Zukunft bei solchen Aktionen den Assistenten direkt verwenden. Dafür musst du lediglich die Datei mit den Infos von Norbert ergänzen. Der Assistent bietet dir dann eine weitere Möglichkeit.

 

Bedenke aber, diese zusätzliche Möglichkeit steht dir dann auch nur auf dem DC zur Verfügung, auf dem du die delegwiz.inf bearbeitet hast. Auf einem anderen DC der Domäne, steht dir das dann nicht zur Verfügung, es sei denn, du kopierst die bearbeitete delegwiz.inf dann auf allen DCs. Dann steht überall dieser Punkt zur Verfügung.

 

 

 

 

 

- muss diese Änderung an jedem DC vorgenommen werden?

 

Nein, nicht zwingend. Wenn du die Ergänzung bloß auf einem DC durchführst, dann steht dir zum einrichten der Berechtigung eben die Möglichkeit nur auf einem DC zur Verfügung. Du musst also beim nächsten Mal diesen einen DC verwenden, wenn du jemand anderem die gleiche Berechtigung durch den Assistenten vergeben möchtest.

 

Soll diese Möglichkeit auf allen DCs zur Verfügung stehen, würde ich die angepasste delegwiz.inf auf die anderen DCs kopieren.

 

 

In meiner INF geht es nur bis zum Punkt

[template13]

 

Korrekt. Standardmäßig beinhaltet der Assistent 13 vorgegebene Berechtigungen. Du fügst dort nun den Eintrag 14 mit den Infos von Norbert hinzu.

 

Ich sage nur, learning by doing.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.045

Geschrieben
Geschrieben
...

habe gerade mal nach deiner INF Datei geschaut.

Die Datei liegt auf meinem DC in folgendem Verzeichnis

c:\Windows\inf

 

Na sowas.

 

Da ich ca. 10 DC´s in meiner Domäne habe,

ergibt sich folgende Frage:

- muss diese Änderung an jedem DC vorgenommen werden?

 

Wenn du den Wizard auf jedem DC ausführen willst, dann mußt du das halt auf jedem DC machen (oder kopieren).

 

In meiner INF geht es nur bis zum Punkt

[template13]

 

Nu rate mal, warum mein Beispiel

;---------------------------------------------------------

[template14]

 

heißt.

:eek:

 

Bye

Norbert

Link zu diesem Kommentar
mc02000 Fellow

mc02000   10

Geschrieben
  • Autor
Geschrieben

na da haben wir uns wohl überschnitten. :-(((

(hatte wohl zur gleichen Zeit nach der Datei gesucht)

 

Besten Dank erst mal.

Hab die Datei jetzt bei mir mit einen Info´s ergänzt.

Habe nun den "Aisstent zum Zuweisen der Objektverwaltung" auf der OU "Computers" gestartet.

--> Gruppe ausgewählt "GG-Administratoren"

--> Benutzerdefiniert Tasks zum Zuweisen erstellen

--> habe dann dort die Einträge durchgezählt und mit einem Server, bei dem ich die INF nicht geändert habe verglichen. Bei beiden habe ich ca. 102 Punkte.

 

Ist das normal, oder wo finde ich nun die Erweiterten Punkte für meine Delegierung?

 

Noch mals besten Dank.

 

Gruß

mc

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.045

Geschrieben
Geschrieben
Hab die Datei jetzt bei mir mit einen Info´s ergänzt.

 

OK.

 

Habe nun den "Aisstent zum Zuweisen der Objektverwaltung" auf der OU "Computers" gestartet.

--> Gruppe ausgewählt "GG-Administratoren"

--> Benutzerdefiniert Tasks zum Zuweisen erstellen

--> habe dann dort die Einträge durchgezählt und mit einem Server, bei dem ich die INF nicht geändert habe verglichen. Bei beiden habe ich ca. 102 Punkte.

 

Was meinst du eigentlich, was die Änderung dieser Datei bewirkt? Dass du einen benutzerdefinierten Task definierst? Das kann nicht dein Ernst sein, oder? Vielleicht kommst du auch mal auf die Idee ganz oben in die Datei zu schauen, und dich zu fragen, warum da Template1 bis Template13 steht, und warum du jetzt ein Template14 ergänzen solltest. ;)

 

 

Ist das normal, oder wo finde ich nun die Erweiterten Punkte für meine Delegierung?

 

Hast du dir denn den Wizard jetzt mal angeschaut? Sieht nicht so aus. Schade, dann kann man dir wohl nicht mehr helfen. ;)

 

Bye

Norbert

Link zu diesem Kommentar
mc02000 Fellow

mc02000   10

Geschrieben
  • Autor
Geschrieben

@all

 

Ich bin wohl doch ein wenig blind und schusselig gewesen.

Man sollte sich auch die ersten Zeilen der Ini anschauen

und anpassen. :-(((( :confused:

Hat prima geklappt.

 

Habe es dann noch ein wenig erweitert, damit die SUB-Admins

auch die Computerobjekte in ihrer OU verwalten können.

 

;---------------------------------------------------------

[template15]

AppliesToClasses=domainDNS,organizationalUnit,container

 

Description="Ermöglicht das Verschieben von Computerkonten in unterstrukturen und Pflegen des Beschreibungsfeldes"

 

ObjectTypes=SCOPE, computer

 

[template15.SCOPE]

computer=CC,DC

 

[template15.computer]

name=RP,WP

@=RP,WP

;----------------------------------------------------------

 

 

@all:

!!! Besten DANK !!!

 

 

Gruß

mc

 

ps.

Wo habt ihr denn das Wissen her, dass es eine solche inf gibt und

wie man diese zu bearbeiten hat? (Lehrgang / Bücher / www)

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.045

Geschrieben
Geschrieben

Wo habt ihr denn das Wissen her, dass es eine solche inf gibt und

wie man diese zu bearbeiten hat? (Lehrgang / Bücher / www)

 

Schaust du dir die Antworten an, die man dir gibt? Da gibts nen Link in die MSKB. Das sollte prinzipiell eine der ersten Anlaufstellen bei Fragen zu MS Produkten sein. Also stößt man irgendwann auch auf solche Fakten.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...