meckert 10 Geschrieben 6. August 2009 Melden Teilen Geschrieben 6. August 2009 Moin Moin, in unserem AD habe ich einen weiteren Admin welcher nur für eine OU verantwortlich ist. In dieser OU befinden sich die User seines Standortes und nicht mehr. Nun muss dieser Admin aber die User der OU in spezielle Gruppen verschieben. Leider hat der OU Admin dazu keine Rechte. Muss ich die OU in welcher sich die Gruppen befinden auch anpassen und die Rechte erweitern oder ist es etwas völlig anderes. Danke und Gruß Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 6. August 2009 Melden Teilen Geschrieben 6. August 2009 Moin, die Mitgliedschaft in Gruppen wird bei der Gruppe gepflegt. Der User benötigt also Rechte auf den Gruppen (bzw. auf deren "member"-Attribut). Gruß, Nils Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 6. August 2009 Melden Teilen Geschrieben 6. August 2009 Servus, das kannst du doch entweder über den Objektverwaltungsassistenten in der MMC "Active Directory-Benutzer und -Computer" oder in der Kommandozeile mit DSACLS an den OU-Admin delegieren. Wenn du im Assistenten den du auf der OU der Benutzer ausführst, einen benutzerdefinierten Task wählst, kannst du zuerst die "Benutzer-Objekte" und anschließend die Option "Lesen und Schreiben Gruppenmitgliedschaft" auswählen. Schau dich auf der folgenden Seite um: LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 7. August 2009 Autor Melden Teilen Geschrieben 7. August 2009 Die OU Struktur sieht grob so aus: DOMAIN +++Berechtigungsgruppen ++++++++Ctrix ++++++++DELL ++++++++ +++ENGLAND ++++++++LEITUNG ++++++++MITARBEITER Ich habe nun auf die OU England geklickt und Objektverwaltung zuweisen ausgewählt. Da habe ich dem entsprechenden User die Rechte eingeräumt und den Kram wieder geschlossen. Dieser User versucht nun Member aus Mitarbeiter in Gruppen Von Berechtigungsgruppen/DELL zu packen. Das geht leider nicht. Es gibt immer ein Berechtigungsfehler. Wo ist mein Fehler? Danke Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 7. August 2009 Melden Teilen Geschrieben 7. August 2009 Moin, Wo ist mein Fehler? das habe ich doch schon geschrieben. Der User benötigt Schreibrechte auf dem Gruppenobjekt (mindestens für das "member"-Attribut). Gruß, Nils Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 7. August 2009 Autor Melden Teilen Geschrieben 7. August 2009 Danke. Welche rechte muss ich dem User gewähren, damit er Mitglieder einer Gruppe ändern kann? Die Auswahl ist für mich nicht klar... Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 7. August 2009 Melden Teilen Geschrieben 7. August 2009 Moin, entweder Schreib- und Leseberechtigung für das ganze Gruppenobjekt. Oder "Read Members" und "Write Members" auf Attributebene für die Gruppe. Zugewiesen über den Button "Erweitert" an "This object only", wenn es nur um die eine Gruppe geht. Oder auf OU-Ebene, dann kannst du die Berechtigungen auf "Group objects" beschränken. Wenn das ganze test-, wiederhol-, dokumentier- und widerrufbar sein soll, machst du es nicht per GUI, sondern mit dsacls.exe. Gruß, Nils Zitieren Link zu diesem Kommentar
meckert 10 Geschrieben 10. August 2009 Autor Melden Teilen Geschrieben 10. August 2009 Moin, entweder Schreib- und Leseberechtigung für das ganze Gruppenobjekt. Oder "Read Members" und "Write Members" auf Attributebene für die Gruppe. Zugewiesen über den Button "Erweitert" an "This object only", wenn es nur um die eine Gruppe geht. Oder auf OU-Ebene, dann kannst du die Berechtigungen auf "Group objects" beschränken. Wenn das ganze test-, wiederhol-, dokumentier- und widerrufbar sein soll, machst du es nicht per GUI, sondern mit dsacls.exe. Gruß, Nils DSACLS.EXE ist so ne Sache. Ich werde nicht so recht schlau aus dem Ding. Kannst du da nochmal schauen. DSACLS.exe "OU=Benutzergruppen,OU=Oben,DC=firma,DC=group" Der Bernutzer soll die Rechte bekommen um diese OU und alle darunter liegenden OU´zu verwalten um andere Benutzer aus einer anderen OU auch Gruppen der OU Benutzergruppen hinzufügen zu können. Danke Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. August 2009 Melden Teilen Geschrieben 10. August 2009 Bonjour, versuche es mal mit diesem Befehl: DSACLS "OU=Benutzergruppen,OU=Oben,DC=firma,DC=group" /I:S /G "firma.group\<DeineGruppe>”:WP;member;Group Siehe auch: LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten Zitieren Link zu diesem Kommentar
paramode 0 Geschrieben 24. Mai 2019 Melden Teilen Geschrieben 24. Mai 2019 Moin, wie kann man verhindern, dass ein "OU-Admin" bei Sicherheitsgruppen auch andere Computerkonten hinzufügen kann die außerhalb der OU sind? Gruß, Andreas Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 24. Mai 2019 Melden Teilen Geschrieben 24. Mai 2019 Bitte erstelle dafür einen neuen Thread. Das ganze kann man mit entsprechenden Berechtigungen verhindern. Zitieren Link zu diesem Kommentar
paramode 0 Geschrieben 24. Mai 2019 Melden Teilen Geschrieben 24. Mai 2019 Ok, erstellt unter: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.