Admin einer OU folgendes ermöglichen

[meckert 10]

Moin Moin,

 

in unserem AD habe ich einen weiteren Admin welcher nur für eine OU verantwortlich ist. In dieser OU befinden sich die User seines Standortes und nicht mehr.

 

Nun muss dieser Admin aber die User der OU in spezielle Gruppen verschieben. Leider hat der OU Admin dazu keine Rechte.

 

Muss ich die OU in welcher sich die Gruppen befinden auch anpassen und die Rechte erweitern oder ist es etwas völlig anderes.

 

Danke und Gruß

[NilsK 2.982]

Moin,

 

die Mitgliedschaft in Gruppen wird bei der Gruppe gepflegt. Der User benötigt also Rechte auf den Gruppen (bzw. auf deren "member"-Attribut).

 

Gruß, Nils

[Daim 12]

Servus,

 

das kannst du doch entweder über den Objektverwaltungsassistenten in der MMC "Active Directory-Benutzer und -Computer" oder in der Kommandozeile mit DSACLS an den OU-Admin delegieren.

 

Wenn du im Assistenten den du auf der OU der Benutzer ausführst, einen benutzerdefinierten Task wählst, kannst du zuerst die "Benutzer-Objekte" und anschließend die Option "Lesen und Schreiben Gruppenmitgliedschaft" auswählen.

 

Schau dich auf der folgenden Seite um:

 

LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung

[meckert 10]

Die OU Struktur sieht grob so aus:

 

DOMAIN

+++Berechtigungsgruppen

++++++++Ctrix

++++++++DELL

++++++++

+++ENGLAND

++++++++LEITUNG

++++++++MITARBEITER

 

Ich habe nun auf die OU England geklickt und Objektverwaltung zuweisen ausgewählt. Da habe ich dem entsprechenden User die Rechte eingeräumt und den Kram wieder geschlossen.

 

Dieser User versucht nun Member aus Mitarbeiter in Gruppen Von Berechtigungsgruppen/DELL zu packen. Das geht leider nicht. Es gibt immer ein Berechtigungsfehler.

 

Wo ist mein Fehler?

 

Danke

[NilsK 2.982]

Moin,

 

Wo ist mein Fehler?

 

das habe ich doch schon geschrieben. Der User benötigt Schreibrechte auf dem Gruppenobjekt (mindestens für das "member"-Attribut).

 

Gruß, Nils

[meckert 10]

Danke.

 

Welche rechte muss ich dem User gewähren, damit er Mitglieder einer Gruppe ändern kann? Die Auswahl ist für mich nicht klar...

[NilsK 2.982]

Moin,

 

entweder Schreib- und Leseberechtigung für das ganze Gruppenobjekt. Oder "Read Members" und "Write Members" auf Attributebene für die Gruppe. Zugewiesen über den Button "Erweitert" an "This object only", wenn es nur um die eine Gruppe geht. Oder auf OU-Ebene, dann kannst du die Berechtigungen auf "Group objects" beschränken.

 

Wenn das ganze test-, wiederhol-, dokumentier- und widerrufbar sein soll, machst du es nicht per GUI, sondern mit dsacls.exe.

 

Gruß, Nils

[meckert 10]

Moin,

 

entweder Schreib- und Leseberechtigung für das ganze Gruppenobjekt. Oder "Read Members" und "Write Members" auf Attributebene für die Gruppe. Zugewiesen über den Button "Erweitert" an "This object only", wenn es nur um die eine Gruppe geht. Oder auf OU-Ebene, dann kannst du die Berechtigungen auf "Group objects" beschränken.

 

Wenn das ganze test-, wiederhol-, dokumentier- und widerrufbar sein soll, machst du es nicht per GUI, sondern mit dsacls.exe.

 

Gruß, Nils

 

DSACLS.EXE ist so ne Sache. Ich werde nicht so recht schlau aus dem Ding. Kannst du da nochmal schauen.

 

DSACLS.exe "OU=Benutzergruppen,OU=Oben,DC=firma,DC=group"

 

Der Bernutzer soll die Rechte bekommen um diese OU und alle darunter liegenden OU´zu verwalten um andere Benutzer aus einer anderen OU auch Gruppen der OU Benutzergruppen hinzufügen zu können.

 

Danke

[Daim 12]

Bonjour,

 

versuche es mal mit diesem Befehl:

 

DSACLS "OU=Benutzergruppen,OU=Oben,DC=firma,DC=group" /I:S /G "firma.group\<DeineGruppe>”:WP;member;Group

 

 

Siehe auch:

 

LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten

[paramode 0]

Moin,

 

wie kann man verhindern, dass ein "OU-Admin" bei Sicherheitsgruppen auch andere Computerkonten hinzufügen kann die außerhalb der OU sind?

 

Gruß, Andreas

 

 

[Dukel 461]

Bitte erstelle dafür einen neuen Thread.

 

Das ganze kann man mit entsprechenden Berechtigungen verhindern.

[paramode 0]

Ok, erstellt unter: