cbecker 10 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Hi Leute, kurze Frage: Gibt es die Möglichkeit, Domain-Benutzter anzulegen, die nur folgendes können: Einen Rechner in die Domain hängen Noch spezieller: Einen Rechner nur in eine bestimmte Gruppe der Domain hängen Gegen das LDAP binden Momentan werden hierzu bei uns normale Domain-Admin Accounts verwendet. Ich würde das aber gerne stärker differenzieren. Grüße Chris Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Moin, ja, grundsätzlich ist das möglich. Das Erzeugen von Computerkonten in einer bestimmten OU (du meinst sicher OU, nicht "Gruppe", oder?) kannst du gezielt über die Sicherheitseinstellungen der OU steuern. Den LDAP-Bind dürfen alle authentisierten User ausführen, dafür musst du also nix Besonderes tun. Sei dir aber bewusst, dass der Aufbau eines eigenen Berechtigungssystems im AD eine sehr planungs- und testintensive Angelegenheit ist. Das sollte man nicht "mal eben" machen. faq-o-matic.net » ice:2010 AD-Delegation – die Folien und Skripts faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen Gruß, Nils Zitieren Link zu diesem Kommentar
cbecker 10 Geschrieben 14. März 2012 Autor Melden Teilen Geschrieben 14. März 2012 Moin, ja, grundsätzlich ist das möglich. Das Erzeugen von Computerkonten in einer bestimmten OU (du meinst sicher OU, nicht "Gruppe", oder?) kannst du gezielt über die Sicherheitseinstellungen der OU steuern. Super, vielen Dank. Natürlich ist die OU gemeint. Die Sache ist ja reichlich verwirrend. Hab dazu auch bei Yussuf nen Artikel gefunden. Nun ist mir zwei folgendes unklar: Es reicht also, dass der Benutzer Computer zu einer OU hinzufügen darf. Es muss nicht eine "generelle" Berechtigung existieren, Computer hinzuzufügen!? Danke nochmal. Zitieren Link zu diesem Kommentar
cbecker 10 Geschrieben 14. März 2012 Autor Melden Teilen Geschrieben 14. März 2012 Da eine OU Bestandteil des AD ist, muss der User berechtigt sein, den Computer diesem hinzu zu fügen. Das macht die Sache also ungemein Komplex. Er muss also das Recht haben, diese Hinzuzufügen. Gleichzeitig muss das Hinzufügen zu einzelnen OUs einzelnen Gruppen zugewiesen werden... richtig? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. März 2012 Melden Teilen Geschrieben 14. März 2012 Ich habe meinen Beitrag wieder gelöscht, da ich feststellte, ich weis es nicht wirklich so speziell. In Erinnerung habe ich eine Richtlinie, mit der Benutzer und Gruppen zum Hinzufügen zum AD berechtigt werden können. Ob es das Hinzufügen zu einer OU erlaubt? Du müsstest es wohl austesten. Ob man das mit den der Sicherheitsfilterung der OU machen kann? Oder ob das per Delegation möglich ist? Deine ursprüngliche Frage lautete aber, ob sich ein User so anlegen lässt? Norbert hat das im Prinzip bejaht, ich meine, mit dem Anlegen des Users selbst ist es aber nicht getan, das andere hat mit dem Anlegen nichts zu tun, betrachte ich als andere Baustelle im AD. Ob ein Benutzer zu solch einer speziellen Sache fähig ist? Die von mir erwähnte Richtlinie ist "Hinzufügen von Arbeitsstationen zur Domäne."., verwähnte Delegation heisst Objektverwaltung. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.