preee 0 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Hallo und guten Morgen zusammen, es geht um folgendes. In meinem Unternehmen gibt es eine Globale OU (Berechtigung nur für die Enterprise Admins) und eine lokale OU (Berechtigung für System Admins, Local Admins der einzelnen Standorte) Jetzt ergibt sich folgendes Problem. Durch eine Policy werden Computer die sich länger als 3 Monate nicht an der Domäne angemeldet haben in die "Retired" Gruppe verschoben und diese liegt in der Global OU. Diese ist wie oben schon erwähnt nur für die Enterprise Admins zu verwalten. Da die Kollegen allerdings viel mit Projekten und anderen Themen beschäftigt sind, ist nun die Frage. Besteht die Möglichkeit expliziete Aktionen wie "Computer in andere OU verschieben" und "Enable Computer Account" auf diese Globale OU für mich als "Local Admin" zu vergeben? Vielen Dank für eure Mühe. LG Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Prinzipiell ja. Aber wäre wahrscheinlich sinnvoller, einfach die retired computers in eine andere ou zu verschieben. Zitieren Link zu diesem Kommentar
preee 0 Geschrieben 22. März 2018 Autor Melden Teilen Geschrieben 22. März 2018 Das wäre sicherlich die einfachste Lösung. Dennoch, müssten auch in dieser OU alle Aktionen außer "Enable/Disable" und "Move Computer Objekt" deaktiviert sein. Ist das mit dem Delegation Wizzard machbar? Gibt es dort die Option? Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Hi, klick den doch einfach mal durch. Im schlimmsten Fall am Ende auf "Abbrechen" anstatt "Fertig stellen" klicken. Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 Abgesehen davon, würde ich in so einem Fall eher mit dsacls arbeiten, da man dann auch gleich die Dokumentation seiner Schandtaten vor Augen hat. ;) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 22. März 2018 Melden Teilen Geschrieben 22. März 2018 (bearbeitet) Moin, auf keinen Fall mit dem Delegations-Assistenten arbeiten! Das Ding ist unbrauchbar. Man kann fast nichts damit festlegen - und vor allem: Man sieht nur das, was man jetzt gerade neu einrichtet, aber nicht den vorhandenen Zustand. Damit kann man sich z.B. dann auch nicht korrigieren. Auch wenn es zunächst aufwändiger ist: AD-Berechtigungen nur per dsacls mit einem Skript setzen und immer in einem Testlab detailliert durchspielen. Das so entwickelte Skript kann man dann auf die Produktion anwenden, gleichzeitig bildet es die Dokumentation. Siehe Schritte 1 und 2 aus: [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Zur Kontrolle vorhandener AD-Berechtigungen eignet sich LIZA: [Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net]https://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/ Abgesehen davon, klingt die beschriebene OU- und Berechtigungsstruktur, als sollte man da dringend das Design überarbeiten. Gruß, Nils bearbeitet 22. März 2018 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.