andreas222 12 Geschrieben 22. November 2014 Melden Teilen Geschrieben 22. November 2014 Hallo zusammen, es gibt einige Links zum Thema AD Delegtion mit den Windows 2012 R2 Bord-Mitteln. Der ADUC Delegations Wizard oder dann eben manuell direkt über die Sicherheit, Advanced Konfiguration. Das Erstellen einer Delegation ist noch relativ gut zu machen. Allerdings die Rechte im Nachhinein zu entziehen oder zu bearbeiten ist schon ziemlich unhandlich. Hat jemand ein Delegations Werkzeug im Einsatz, Tools4ever, firstware oder Quest ? Ist es damit möglich Rollen zu delegieren ? Bspw. möchte ich gerne eine OU delegieren, die OU Admin Gruppe soll User, Computer, Gruppen, OUs ( bei Bedarf) anlegen und auch ändern/löschen können. Später evtl. noch GPOs ... ist noch nicht geklärt. Merci für Infos Andreas Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 22. November 2014 Melden Teilen Geschrieben 22. November 2014 Delegation immer über Gruppen machen und dann über den Wizard oder wenn es feiner sein soll über ADUC. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 22. November 2014 Melden Teilen Geschrieben 22. November 2014 Mittels dsacls hat man auch gleich ne Doku Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 23. November 2014 Melden Teilen Geschrieben 23. November 2014 Moin, anders wird ein Schuh draus: NIEMALS den Wizard nehmen, der ist völlig untauglich. Wenn es ohne kommerzielle Tools sein soll und eher "einmalig" eingerichtet werden soll (sich also nicht ständig was ändert), ist die Kombination von dsacls und LIZA meist brauchbar. Auf jeden Fall braucht man ein separates (!) Testlabor. Wenn die Anforderungen noch nicht geklärt sind, sollte man so ein Projekt auch noch nicht anfangen. Auch die Auswahl eines Tools ist erst sinnvoll, wenn die Anforderungen klar sind. Da wirklich nützliche Tools meistens fünfstellig kosten (oder mehr), sollte man hier schon ziemlich gut wissen, was man denn braucht. Gruß, Nils Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 24. November 2014 Autor Melden Teilen Geschrieben 24. November 2014 Hallo zusammen, merci für die Antworten. Klar delegiert wird nur an Gruppen. Die Anforderungen sind nun auch klar. Es geht darum das Recht User, Gruppen, Computer sowie vorhandene GPOs zu verknüpfen. Wird alles zuerst im Testsetup durchgespielt. :) Die Delegierung/Berechtigungen direkt über die Advanced Settings zu machen ist auch ein Weg. Nachteil man hat dann keine Doku. Möglicherweise kommen früher oder später mehr Aufgaben dazu, deshalb die Frage nach einem Werkzeug. Für den Anfang sollte dcacls und evtl. auch Powershell auch gut sein. :) VG & Merci Andreas Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 24. November 2014 Autor Melden Teilen Geschrieben 24. November 2014 (bearbeitet) Hallo zusammen, hab es mal zum Test mit DSACLS gemacht.Mal das Wesentliche in Kürze. Vielleicht ist es ja interessant für jemanden. Könnt ihr mal drüber schauen, geht das noch einfacher ? Ähm, wie kann ich das Erstellen/Löschen von SUB-OUS erlauben, hab ich noch nicht gefunden ?Das wäre noch ein Zückerle, wobei das Erstellen/Löschen auch auf Zuruf gemacht werden kann. :) @ Nils Danke für den Tip mit find /I..... VG & Merci Andreas # Anlegen der Rechte Gruppe darf Computerkonten in Computer-OU erstellen dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;Computer | find /I "nicht erfolgreich" || echo erfolgreichGruppe darf Benutzer in Users-OU erstellen dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;User | find /I "nicht erfolgreich" || echo erfolgreichGruppe darf Eigenschaften der User in Users-OU bearbeiten dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:RPWP;;User | find /I "nicht erfolgreich" || echo erfolgreichGruppe darf Gruppen in Groups-OU erstellen dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;Group | find /I "nicht erfolgreich" || echo erfolgreichGruppe darf Mitglieder einer Gruppe in Groups-OU bearbeitendsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:RPWP;;Group | find /I "nicht erfolgreich" || echo erfolgreichREM CC = Create Child ObjectREM DC = Delete Child ObjectREM Parameter I = InheritanceREM I:P = Nur das ObjektREM I:S = Nur UnterobjekteREM I:T = Objekt und Unterobjekt # Enzug der Rechte Gruppe darf Computerkonten in Computer-OU entziehen dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%Gruppe darf Benutzer in Users-OU erstellen/bearbeiten entziehendsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%Gruppe darf Gruppen in Groups-OU erstellen/bearbeiten entziehendsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP% bearbeitet 24. November 2014 von andreas222 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 24. November 2014 Melden Teilen Geschrieben 24. November 2014 Moin, es ist mir gerade zu spät, um es zu testen, aber ich würde mal annehmen, dass man auch die Objektklasse "organizationalUnit" in dsacls angeben kann. Übrigens sollte man den Aufwand für eine produktive Umsetzung nicht unterschätzen. Es geht bei dir ja offenbar um eine Hochschule mit IdM-Integration (oder sowas), da habe ich für sowas schon Projekte mit hoher zweistelliger Anzahl an Projekttagen zugebracht. Es treten bei sowas schnell einige Besonderheiten zutage. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 24. November 2014 Melden Teilen Geschrieben 24. November 2014 Kann ich nur bestätigen. Ist nicht nur in Hochschulen "aufwändig". ;) Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 25. November 2014 Autor Melden Teilen Geschrieben 25. November 2014 Hallo zusammen, richtig ihr habt vollkommen recht. Der Aufwand ist groß bzw. es gibt sicher vieles was irgendwann irgendwoher U-Boot mässig auftaucht.@NilsJep, es geht immer noch um dieses IDM-Projekt. Das IDM System selbst hat noch keinen Status X erreicht. Die Mühlen mahlen langsam. VG & Merci Andreas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.