mmc snap-in an einen benutzer zuweisen

[jens76 10]

hallo

 

wie erstelle ich in der mmc eine konsole mit der ein benutzer(kein aminrechte) benutzer erstellen kann?

und wie weise ich diese konsole dann dem benutzer zu?

[Red Sector 10]

Zunächst mal:

 

Ohne das Recht Benutzer zu erstellen, wird Dein Benutzer keine Benutzer erstellen können (whow, was für ein Satz...), er muss also mindestens Mitglied der Gruppe "Konten-Operatoren" sein, oder das entsprechende Recht auf den OUs haben, wo er tätig sein soll.

 

In der MMC musst Du dann das Snap-In "Active Directory Benutzer und Computer" hinzufügen und eine neue "Taskpadansicht" erstellen und den Task "Neuer Benutzer" hinzufügen. Die erstellte MMC kopierst Du dann auf den Rechner des Benutzers (stell vorher sicher, dass das Adminpack installiert ist). Kräftig umrühren und fertig!

 

 

Gruß

 

Red Sector

[bansai 10]

kann ich eine selbsterstellte taskpad ansicht an einen User übergeben, ohne dass auf dem Rechner das Adminpak installiert ist?

Denn ich habe festgestellt, dass der user dann über die Admintools auf das gesamte ADS zugreifen kann.

[Velius 10]

Ne, das geht ned.....

 

Der braucht das Admin Pack, wenn er aber nur explizit die Rechte erhalten hat, die er braucht, ist das auch kein Problem...

 

Allenfalls kann man da noch mit den GPO dahinter gehen. Es gibt da einen MMC abschnitt, und die möglichkeit, die Systemsteuernung auszublenden.

 

Schau 'mal im Board nach "Group policy reference" oder so; ist eine Excel Tabellle mit allen einstellungen der GPO.

 

Gruss

[gr@mlin 10]

hi jens76,

 

erstmal willkommen an board!

 

in diesem thread habe ich mal das erstellen einer solchen mmc-konsole beschrieben. müsstest halt nur als funktion "benutzer erstellen" nehmen.

 

p.s.: ich würde dem user die mmc nicht geben, sondern nur eine verknüpfung darauf.

 

gruss, gr@mlin

[bansai 10]

Also definitiv funktioniert es nicht wenn kein AdminPak installiert wurde.

Nach Deinstallation des AdminPak funktioniert die selbsterstellte Taskpadansicht immer noch.

Und noch ein Schmankerl. Als normaler Domänenbenutzer hat man über die admgmt.msc Vollzugriff auf die ADS.

Die msc bleibt auch vorhanden, wenn man das Adminpak wieder deinstalliert.

[Velius 10]

Original geschrieben von bansai

Als normaler Domänenbenutzer hat man über die admgmt.msc Vollzugriff auf die ADS.

 

Nein, definitv nicht. Wenn es doch der Fall sein sollte, dann wurde was verändert. Standartverhalten ist das nicht.

 

Sonst versuch 'mal als nur Domänenbenutzer z.B. ein Computerkonto zu erstellen.

[bansai 10]

Installiere doch mal das Adminpak als lokaler Administrator einer Workstation und melde dich dann als Domänenbenutzer an.

Probiere dann mal über die entsprechende mmc Konsole Zugriff auf die Benutzerverwaltung des Domänencontrollers zu bekommen.

Das gleiche probiere doch bitte mal, nachdem das Adminpak wieder entfernt wurde, denn die entsprechende mmc existiert auch weiterhin im Windows Verzeichnis.

[Velius 10]

..bei mir funzt das Erwartungsgemäs einwandt frei!! Ich habe mich dazu mit einem Domänen Konto mit lokalen Admin Rechten angemeldet , jeweils zum in-, und zum deinstallieren!!

 

Den lokalen Administrator (Konto auf dem lokalen Computer!!) eines Rechners verwende ich im übrigen nach dem an die Domäne joinen überhaupt nicht mehr, ausser in extrem Fällen, was nach meiner Ansicht die Regel und Empfohlen ist.

 

Gruss