Neopolis 19 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 Hallo zusammen, wir sollen zwei Personen auf eine neu erstellte OU so berechtigen, dass die zwei dort drinnen Gruppen erstellen können sollen aber keine Benutzer. Sie sollen aber Benutzer den von ihnen erstellen Gruppen hinzufügen können. Geht das? Gruß Thomas Zitieren
cj_berlin 1.401 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 Klar, wenn sie eine neue Gruppe erstellen, sind sie ja erst Mal Owner Zitieren
Neopolis 19 Geschrieben 17. Januar 2023 Autor Melden Geschrieben 17. Januar 2023 Das ist richtig aber sie haben ja in der Konsole die Möglichkeiten auch Benutzer anlegen zu können und das soll nicht sein. Es soll nur das Symbol zum Anlegen von Gruppen klickbar sein und das für die Benutzer ausgegraut. Zitieren
Sunny61 816 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 vor 2 Minuten schrieb Neopolis: aber sie haben ja in der Konsole die Möglichkeiten auch Benutzer anlegen zu können und das soll nicht sein. Konnten sie denn einen neuen User anlegen oder war nur der Button klickbar? Zitieren
NilsK 2.978 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 (bearbeitet) Moin, wenn die Berechtigungen richtig gesetzt sind, können die Kolleginnen nur Gruppen anlegen und diese dann verwalten. Andere Objekte können sie nicht anlegen. Was die Konsole daraus macht, kann man nicht beeinflussen. Möglicherweise zeigt sie die Buttons an, meldet dann aber einen Fehler. Das müsste der Entwickler der Konsole steuern. An den Berechtigungen kommt man damit aber nicht vorbei. Ach, und wenn wir dabei sind: Sowas richtet man per Skript ein, z.B. mit dsacls. Dann bildet das Skript auch gleich die Dokumentation. Und man braucht eine gute Testumgebung. Erst wenn es da fertig ist, wendet man das Skript auf die Produktion an. Gruß, Nils bearbeitet 17. Januar 2023 von NilsK 1 Zitieren
testperson 1.758 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 Hi, wenn ich dich richtig verstehe: Ja, du kannst das Erstellen / Bearbeiten von Gruppen delegieren: Delegate AD group management - Active Directory FAQ. Mache es aber nicht in der GUI sondern per Powershell (Set-ACL) oder per Kommandozeile (dsacls). Wenn die User nur bestimmte Funktionen sehen sollen, benötigst du ein eigenes Frontend, was nur das Gewünschte anzeigt. Evtl. wäre ein PowerShell Script ein Ansatz ggfs. in Verbindung mit JEA (Übersicht zu Just Enough Administration (JEA) - PowerShell | Microsoft Learn). Gruß Jan Zitieren
Neopolis 19 Geschrieben 17. Januar 2023 Autor Melden Geschrieben 17. Januar 2023 Danke Leute!!! Prima die Antworten. Ich habe es umgesetzt bekommen. Vielen Dank! Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.