Jump to content

Delegation Windows 2012 R2

andreas222

Von andreas222
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

andreas222 Enthusiast

andreas222   12

Geschrieben
Geschrieben

Hallo zusammen,

 

es gibt einige Links zum Thema AD Delegtion mit den Windows 2012 R2 Bord-Mitteln.

 

Der ADUC Delegations Wizard oder dann eben manuell direkt über die Sicherheit, Advanced Konfiguration.

Das Erstellen einer Delegation ist noch relativ gut zu machen.

Allerdings die Rechte im Nachhinein zu entziehen oder zu bearbeiten ist schon ziemlich unhandlich.

Hat jemand ein Delegations Werkzeug im Einsatz, Tools4ever, firstware oder Quest ?

 

Ist es damit möglich Rollen zu delegieren ?

Bspw. möchte ich gerne eine OU delegieren, die OU Admin Gruppe soll User, Computer, Gruppen, OUs ( bei Bedarf) anlegen und auch ändern/löschen können.

Später evtl. noch GPOs ... ist noch nicht geklärt.

 

Merci für Infos

Andreas

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

anders wird ein Schuh draus: NIEMALS den Wizard nehmen, der ist völlig untauglich.

 

Wenn es ohne kommerzielle Tools sein soll und eher "einmalig" eingerichtet werden soll (sich also nicht ständig was ändert), ist die Kombination von dsacls und LIZA meist brauchbar. Auf jeden Fall braucht man ein separates (!) Testlabor.

 

Wenn die Anforderungen noch nicht geklärt sind, sollte man so ein Projekt auch noch nicht anfangen. Auch die Auswahl eines Tools ist erst sinnvoll, wenn die Anforderungen klar sind. Da wirklich nützliche Tools meistens fünfstellig kosten (oder mehr), sollte man hier schon ziemlich gut wissen, was man denn braucht.

 

Gruß, Nils

Link zu diesem Kommentar
andreas222 Enthusiast

andreas222   12

Geschrieben
  • Autor
Geschrieben

Hallo zusammen,

 

merci für die Antworten.

 

Klar delegiert wird nur an Gruppen.

Die Anforderungen sind nun auch klar. Es geht darum das Recht User, Gruppen, Computer sowie vorhandene GPOs zu verknüpfen.

Wird alles zuerst im Testsetup durchgespielt. :)
 

Die Delegierung/Berechtigungen direkt über die Advanced Settings zu machen ist auch ein Weg. Nachteil man hat dann keine Doku.

 

Möglicherweise kommen früher oder später mehr Aufgaben dazu, deshalb die Frage nach einem Werkzeug.

Für den Anfang sollte dcacls und evtl. auch Powershell auch gut sein. :)

 

 

VG & Merci

Andreas

 

 

Link zu diesem Kommentar
andreas222 Enthusiast

andreas222   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo zusammen,

 

 

hab es mal zum Test mit DSACLS gemacht.
Mal das Wesentliche in Kürze. Vielleicht ist es ja interessant für jemanden.

 

Könnt ihr mal drüber schauen, geht das noch einfacher ?

 

Ähm,  wie kann ich das Erstellen/Löschen von SUB-OUS erlauben, hab ich noch nicht gefunden ?
Das wäre noch ein Zückerle, wobei das Erstellen/Löschen auch auf Zuruf gemacht werden kann. :)

 

 

@ Nils Danke für den Tip mit find /I.....

 

VG & Merci

Andreas

 

 

# Anlegen der Rechte

 

Gruppe darf Computerkonten in Computer-OU erstellen                 
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;Computer | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Benutzer in Users-OU erstellen                 
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;User | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Eigenschaften der User in Users-OU bearbeiten  
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:RPWP;;User | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Gruppen in Groups-OU erstellen                 
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;Group | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Mitglieder einer Gruppe in Groups-OU bearbeiten
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:RPWP;;Group | find /I "nicht erfolgreich" || echo erfolgreich


REM CC = Create Child Object
REM DC = Delete Child Object
REM Parameter I = Inheritance
REM I:P = Nur das Objekt
REM I:S = Nur Unterobjekte
REM I:T = Objekt und Unterobjekt

 

 

# Enzug der Rechte

Gruppe darf Computerkonten in Computer-OU entziehen              
dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%

Gruppe darf Benutzer in Users-OU erstellen/bearbeiten entziehen
dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%

Gruppe darf Gruppen in Groups-OU erstellen/bearbeiten entziehen
dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%
 

bearbeitet von andreas222
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

es ist mir gerade zu spät, um es zu testen, aber ich würde mal annehmen, dass man auch die Objektklasse "organizationalUnit" in dsacls angeben kann.

 

Übrigens sollte man den Aufwand für eine produktive Umsetzung nicht unterschätzen. Es geht bei dir ja offenbar um eine Hochschule mit IdM-Integration (oder sowas), da habe ich für sowas schon Projekte mit hoher zweistelliger Anzahl an Projekttagen zugebracht. Es treten bei sowas schnell einige Besonderheiten zutage.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...