Delegierung von Gruppenrechten / Vererbung

Forenfanatiker · 29. Juli 2011

Hallo Leute,

ich hoffe mir kann hier jemand weiterhelfen, denn ich bin ratlos.

Folgendes:

- 2 OUs ... OU "Personal" und Unter-OU "Zweigstellen".

- Benutzer "Barbara Mayer" ist Mitglied der Gruppe "Helpdesk"

- Der Gruppe "Helpdest" wurde für die OU "Personal" erlaubt, das Kennwort zurückzusetzen.

Dies wurde folgendermaßen gemacht:

Rechte Maustaste auf "Personal" -> Objektverwaltung zuweisen -> Weiter -> Hinzufügen -> Helpdesk -> Weiter -> Haken bei "Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung" -> Weiter -> Fertigstellen

Ein Test mit dem Helpdestbenutzer "Barbara Mayer" zeigt, dass dies funktioniert hat. Ich kann die Kennwörter der Benutzer aus der OU "Personal" und die der Benutzer der Unter-OU "Zweigstelle" zurücksetzen (wegen der Vererbung).

Nun soll die Vererbung unterbrochen werden. Erreicht werden soll, dass Barbara Mayer die Kennwörter der OU "Personal" zurücksetzen kann, die der OU "Zweigstelle" aber nicht.

Ich mach es so wie im Buch beschrieben:

Rechte Maustaste auf die Unter OU "Zweigstelle" -> Eigenschaften -> Sicherheit -> Erweitert und dort den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen" rausmachen.

Laut dem Buch soll man danach dann wieder als Helpdeskmitarbeiter testen ob man immer noch die Kennwörter zurücksetzen kann.

Was im Buch aber leider gar nicht beschrieben wird, ist, dass sich erstmal vorher ein Fenster öffnet in dem steht:

Wenn Sie diese Option wählen, werden die Berechtigungseinträge des übergeordneten Elements nicht mehr auf dieses Objekt angewendet.

- Klicken Sie auf "Kopieren" um Berechtigungseinträge, die vom übergeordneten Objekt für dieses Objekt übernommen wurden zu kopieren.

- Klicken Sie auf "Entfernen" um die Berechtigungseinträge, die vom übergeordneten Objekt übernommen wurden, zu entfernen und nur die hier definierten Berechtigungen zu behalten.

Da mir das im Buch nicht erklärt wird, habe ich einfach mal auf Entfernen geklickt. Nun konnte ich für beide OUs die Kennwörter nicht mehr zurücksetzen, obwohl laut DACL der Helpdesk-User durchaus das Recht dazu hatte.

Ich habe stundenlang den Fehler gesucht, ihn aber nicht gefunden.

Danach habe ich sämtliche Benutzer, Gruppen, OUs usw. gelöscht und nochmal von vorn angefangen. Diesmal hab ich beim Ausschalten der Vererbung allerdings auf "Kopieren" und nicht auf "Entfernen" geklickt.

Nun war die Vererbung zwar ausgeschaltet, aber die Berechtigungen waren noch da. Ich konnte bei beiden OUs die Kennwörter zurücksetzen.

Also bin ich als Admin nochmal in die Unter-OU "Zweigstelle" gegangen und habe die Gruppe "Helpdesk" einfach mal aus der DACL gelöscht.

Dann wieder als Helpdesk-Mitarbeiter angemeldet und siehe da: Ich kann die Kennwörter der OU "Zweigstelle" nun nicht mehr zurücksetzen. Super!!!

Dummerweise funktioniert jetzt aber auch die Kennwortrücksetzung für die OU "Personal" nicht mehr (also genauso wie da wo ich "Entfernen" statt "kopieren" gewählt habe), obwohl ich an dieser OU NICHTS gemacht habe. Die Gruppe "Helpdesk" steht bei der OU "Personal" auch weiterhin in der DACL, trotzdem funktionierts nicht mehr.

Auch wenn ich die Rechte nochmal neu zuweise ... es funktioniert nicht mehr!!!

Ich bin echt ratlos! Was mach ich hier falsch???