Helpdesk Gruppe berechtigen, dem Reiter "Einwahl" zu administrieren.

[Dayworker 10]

Hallo zusammen,

 

ich muss der Helpdesk Gruppe eine Funktion in der AD zuweisen.

Sie soll in den Benutzern die Möglichkeit haben, den Reiter Einwahl zu administrieren.

Folgendes habe ich schon gemacht.

Delegierung für die Gruppe auf die besagte OU, mit folgenden Rechten:

msNPAllowDialin 
msNPCallingStationID 
msNPSavedCallingStationID 
msRADIUSCallbackNumber 
msRADIUSFramedIPAddress 
msRADIUSFramedRoute 
msRADIUSServiceType 
msRASSavedCallbackNumber 
msRASSavedFramedIPAddress 
msRASSavedFramedRoute 
userParameters

Diese alle sind nun als lese- und schreinrecht markiert. Jedoch kommt immernoch die Meldung, dass der Zugriff bei Änderung verweigert sei.

Plus zustäzlich, lese und Schreibrecht für Remote Administration.

 

Hat noch irgendjemand eine Idee, was fehlen könnte?

 

Dankefür Eure Hilfe.

 

Gruß

Dayworker

[Sunny61 809]

Im Detail kann ich dir nicht helfen, nur einen Hinweis auf einen guten Artikel posten: https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

Langsam durchlesen und Berechtigungen setzen.

[NilsK 2.966]

Moin,

 

ergänzend dazu: Die GUI-Funktionen sind manchmal nicht direkt auf einzelne AD-Attribute gemappt, sondern es kann auch sein, dass sie z.B. Funktionen aufrufen. Daher müsstest du zunächst mal rausfinden, welche Berechtigungen denn tatsächlich benötigt werden.

 

Andersrum kann es aber auch sein, dass das GUI mehr zu ändern versucht, als du eigentlich vorhast. Manche Registerkarten mit z.B. fünf Einträgen versuchen alle zu ändern, auch wenn man nur den Eintrag in einem der Felder verändert hat. Hier wäre also im Zweifel zu prüfen, ob es mit einer anderen Art des Zugriffs geht.

 

Gruß, Nils

 

[NorbertFe 2.072]

vor 5 Stunden schrieb Dayworker:

Hat noch irgendjemand eine Idee, was fehlen könnte?

 

Vermutlich der GUI Fehler, den sie seit 2003 mitschleppen. Wenn die GUI benutzt wird, wird immer auch ein Attribut geschrieben, welches nicht für den Nutzer berechtigt ist. Musst du mal das Auditing aktivieren, dann sieht man das sehr schnell. Ich hatte dazu 2004 oder so mal einen Support Case offen, der wegen "won't fix" geschlossen wurde. Wenn ich die Infos noch finde, geb ich Bescheid.

 

Bye

Norbert

[cj_berlin 1.334]

Alternativ: mit JEA oder anderen Mitteln delegieren, statt den Helpdesk mit ADUC arbeiten zu lassen.

[NorbertFe 2.072]

Lange her (man bin ich alt :/)

https://web.archive.org/web/20060118110518if_/http://www.gruppenrichtlinien.de:80/
 

ich meine beim Kunden scheiterte es an der callback number die damals nicht geändert werden durfte, aber die gui will die immer schreiben.

bearbeitet 27. Januar 2022 von NorbertFe

[Dayworker 10]

Hallo zusammen,

 

dsnke an alle , ich prüfe das und gebe wieder Bescheid..

 

liebe grüsse

 

day 

[Dayworker 10]

Am 27.1.2022 um 19:24 schrieb NorbertFe:

Lange her (man bin ich alt :/)

https://web.archive.org/web/20060118110518if_/http://www.gruppenrichtlinien.de:80/
 

ich meine beim Kunden scheiterte es an der callback number die damals nicht geändert werden durfte, aber die gui will die immer schreiben.

Hallo Norbert,

 

ich bin jetzt auf der Seite, aber wie genau oder was soll ich auf der Seite aufrufen?

 

[NorbertFe 2.072]

Ach menno: https://web.archive.org/web/20120127105655fw_/http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung_RAS.htm

 

Anhand der URL solltest du hinfinden. Leider kann man das scheinbar nicht direkt verlinken.

bearbeitet 31. Januar 2022 von NorbertFe

[Sunny61 809]

Hrm.

Wayback Machine has not archived that URL.

Click here to search for all archived pages under.

 

Ganz kurz erscheint der Teil den Du verlinkt hast. Aber nur kurz. ;)

[Dayworker 10]

alles gut..ich habe es gefunden.

 

Gerade eben schrieb Dayworker:

alles gut..ich habe es gefunden.

 

kann mir noch jemand nen hinweis geben, wie die Berechtigung auf die user-Parameters bring per Gui..

Ich glaube ich denke zu kompliziert, finde es einfach nicht.

[NorbertFe 2.072]

vor 10 Minuten schrieb Dayworker:

Ich glaube ich denke zu kompliziert, finde es einfach nicht.

Zitat: Will man diese Einstellungen mittels der GUI setzen ist es vorher notwendig die gefilterten Eigenschaften anzupassen. Wie das geht ist in der MSKB dokumentiert. 

 

Jetzt müßte man nur aktuell den richtigen Artikel finden.

Oh halt, die sind ja sogar erwähnt ;)

Und schau an, den gibts sogar noch aktuell:

http://support.microsoft.com/kb/296490/en-us

 

Zur GUI sei gesagt, dass die Müll ist in diesen Fällen. Machs einfach per dsacls:

Zitat aus einem weiteren der bei Gruppenrichtlinien archivierten Artikel:

 

Zitat

Dokumentation

 

Um das ganze etwa einfacher zu dokumentieren gibt es in den Supporttools von Windows 2000 und Windows Server 2003 das Tool dsacls.exe

Mit diesem Kommandozeilentool kann man sich unter anderem Berechtigungen im AD anzeigen lassen. (man kann sie auch darüber setzen und ändern)

Wenn man nun an der Kommandozeile folgendes eintippt,

 

C:\>dsacls OU=Test,DC=domain,DC=de > c:\permission.txt

 

erhält man im angegebenen Pfad eine .txt Datei, die die gesetzten Rechte auflistet.

Das sieht dann folgendermaßen aus.

 

Allow DOMAIN\Personalabteilung     SPECIAL ACCESS for Personal Information

                                                         WRITE PROPERTY

                                                         READ PROPERTY

Allow DOMAIN\Personalabteilung     SPECIAL ACCESS for Public Information

                                                         WRITE PROPERTY

                                                         READ PROPERTY

Allow DOMAIN\Personalabteilung    SPECIAL ACCESS for lockoutTime

                                                         WRITE PROPERTY

                                                         READ PROPERTY

 

Aus Gründen der Übersichtlichkeit habe ich nur den hier interessanten Teil dokumentiert, denn es werden auch alle standardmäßig gesetzten Rechte aufgelistet.

 

Tipp 1: Der DN (Distinguished Name) der OU oder auch jedes anderen AD Objektes lässt sich am einfachsten mit dem Tool ldp.exe, ebenfalls in den Supporttools enthalten, finden.  (Zumindest für diejenigen die nicht fließend ldap sprechen können.)

 

Tipp 2: Wenn man sich mal in den Rechten verstrickt hat, kann man mittels dsacls.exe die per Standard definierten Rechte zurückbekommen indem man folgendes eintippt: dsacls OU=Test,DC=domain,DC=de /S

 

 

bearbeitet 31. Januar 2022 von NorbertFe

[Dayworker 10]

vor 8 Minuten schrieb NorbertFe:

Zitat: Will man diese Einstellungen mittels der GUI setzen ist es vorher notwendig die gefilterten Eigenschaften anzupassen. Wie das geht ist in der MSKB dokumentiert. 

 

Jetzt müßte man nur aktuell den richtigen Artikel finden.

Oh halt, die sind ja sogar erwähnt ;)

Und schau an, den gibts sogar noch aktuell:

http://support.microsoft.com/kb/296490/en-us

 

Zur GUI sei gesagt, dass die Müll ist in diesen Fällen. Machs einfach per dsacls:

Zitat aus einem weiteren der bei Gruppenrichtlinien archivierten Artikel:

 

 

 

Jetzt willst Du es aber wissen.....;-)

mit Dsacls muss ich mich beschäftigen, Danke für Deine Hilfe.

Jetzt wissen wir auch, dass die Archive noch funktionieren!

 

 

[NorbertFe 2.072]

Gerade eben schrieb Dayworker:

Jetzt willst Du es aber wissen.....;-)

 

Ich hab den Kram schließlich nicht umsonst geschrieben ;)

[NilsK 2.966]

Moin,

 

wenn du mit Delegation im AD arbeiten willst oder musst, geht an dsacls ohnehin kein Weg vorbei. Das GUI hilft nicht nur nicht, sondern es verhindert, dass man vorankommt.

 

Hier noch eine Standardquelle, da ist auch ein dsacls-Skriptgerüst dabei:

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

 

Und noch was zum Thema:

[ice:2010 AD-Delegation – die Folien und Skripts | faq-o-matic.net]
https://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/

 

Gruß, Nils