Minimal benötigte Rechte

[FBenson 10]

Hallo,

 

ich bin gerade damit beschäftigt ein Programm zu schreiben, dass u.a. neue Gruppen im AD anlegen und diesen Gruppen Benutzer zuordnen soll. Jetzt stellt sich mir aber die Frage was für Berechtigungen muss das ausführende Konto mind. besitzen um diese Aufgaben durchführen zu können? Leider habe ich da bisher nichts zu finden können. Kann mir jemand dabei weiter helfen?

 

Mit freundlichen Grüßen

Benson

[testperson 1.674]

Hi,

 

schau dir im AD mal den "Assistent zum Zuweisen von Objektberechtigungen" auf OU oder Domänenebene. Dann kannst du dir eine eigene Gruppe erstellen die z.B. genau das darf was du möchtest.

[Sunny61 806]

Ein kleines HowTo zum Wizard: Objektverwaltung zuweisen - Delegation von Aufgaben

[Daim 12]

Servus,

 

du kannst die Delegierung mit dem Kommandozeilentool DSACLS skripten. Das hat auch den Vorteil, dass die delegierten Rechte sich zum einen "einfach" dokumentieren und zum anderen, leicht wieder entfernen lässt.

 

Mit dem folgenden Befehl (ungetestet) solltest du das Recht zum erstellen von Gruppen in der angegebenen OU delegieren können:

 

Dsacls "OU=<OU>,DC=Domäne,DC=TLD" /I:S /G <Domäne>\<Gruppe>:CC;group;

 

 

Für die zweite Anforderung ist es notwendig, das Schreibrecht für das member Attribut in den Gruppenobjekten zu delegieren. Der Befehl (ebenfalls ungetestet) könnte so aussehen:

 

Dsacls "OU=OU,DC=Domäne,DC=TLD" /I:S /G <Domäne>\<Gruppe>:WP;member;group

 

Danach kann die <Gruppe> in den einzelnen Gruppen die unterhalb der angegebenen OU existieren, Benutzer hinzufügen.

 

 

LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten

[FBenson 10]

Entschuldigung das ich erst jetzt antworte, aber ich habe im Moment viel zu viele Projekte. Das mit dem AD hat jetzt dank der hilfreichen Tipps soweit geklappt. Vielen Dank dafür.

 

Wenn mir jetzt noch jemand sagen könnte was für Berechtigungen ich auf einem XP oder Vista System min. benötige um lokale Gruppen anzulegen und ihnen Benutzer zuzuordnen wäre ich glücklich :). Ich muss dem Konto doch keine Admin Rechte zuteilen,... oder?

 

mit freundlichen Grüßen

Benson

[Sunny61 806]

Wenn mir jetzt noch jemand sagen könnte was für Berechtigungen ich auf einem XP oder Vista System min. benötige um lokale Gruppen anzulegen und ihnen Benutzer zuzuordnen wäre ich glücklich :). Ich muss dem Konto doch keine Admin Rechte zuteilen,... oder?

 

Nein, nach dieser Beschreibung reichen Hauptbenutzerrechte: Wer darf was? Das will man aber eigentlich auch nicht: Wie werde ich lokaler Administrator? Wie mache ich mich als Benutzer zum Administrator? faq-o-matic.net Wie Hauptbenutzer zu Admins werden

 

Du kannst lokale Gruppen natürlich auch mit den Group Policy Preferences via GPO im AD anlegen. Benutzer aus dem AD auswählen und zuweisen, funktioniert gut.

[lemeid 11]

Hallo,

 

hab zwar nichts zum Thema - auch wenn das von Sunny61 gepostete echt interessant ist!

 

Aber: Ich finde es bedenklich eine solche "Anleitung" hier zu posten - immerhin wird immer wieder gesagt dass das umgehen von Benutzerrechten nicht unterstützt wird.

 

 

Gruß

Stefa

[FBenson 10]

Vielen Dank. Ich werde dann mal darüber nachdenken ob ich die Hauptbenutzerrechte vergebe.

[Sunny61 806]

Vielen Dank. Ich werde dann mal darüber nachdenken ob ich die Hauptbenutzerrechte vergebe.

 

Würde ich nicht machen. Schau dir die Group Policy Preferences an, damit kannst Du lokale Gruppen anlegen und Benutzer hinzufügen.