Neopolis 19 Geschrieben 17. Januar 2023 Melden Teilen Geschrieben 17. Januar 2023 Hallo zusammen, wir sollen zwei Personen auf eine neu erstellte OU so berechtigen, dass die zwei dort drinnen Gruppen erstellen können sollen aber keine Benutzer. Sie sollen aber Benutzer den von ihnen erstellen Gruppen hinzufügen können. Geht das? Gruß Thomas Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 17. Januar 2023 Melden Teilen Geschrieben 17. Januar 2023 Klar, wenn sie eine neue Gruppe erstellen, sind sie ja erst Mal Owner Zitieren Link zu diesem Kommentar
Neopolis 19 Geschrieben 17. Januar 2023 Autor Melden Teilen Geschrieben 17. Januar 2023 Das ist richtig aber sie haben ja in der Konsole die Möglichkeiten auch Benutzer anlegen zu können und das soll nicht sein. Es soll nur das Symbol zum Anlegen von Gruppen klickbar sein und das für die Benutzer ausgegraut. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 17. Januar 2023 Melden Teilen Geschrieben 17. Januar 2023 vor 2 Minuten schrieb Neopolis: aber sie haben ja in der Konsole die Möglichkeiten auch Benutzer anlegen zu können und das soll nicht sein. Konnten sie denn einen neuen User anlegen oder war nur der Button klickbar? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 17. Januar 2023 Melden Teilen Geschrieben 17. Januar 2023 (bearbeitet) Moin, wenn die Berechtigungen richtig gesetzt sind, können die Kolleginnen nur Gruppen anlegen und diese dann verwalten. Andere Objekte können sie nicht anlegen. Was die Konsole daraus macht, kann man nicht beeinflussen. Möglicherweise zeigt sie die Buttons an, meldet dann aber einen Fehler. Das müsste der Entwickler der Konsole steuern. An den Berechtigungen kommt man damit aber nicht vorbei. Ach, und wenn wir dabei sind: Sowas richtet man per Skript ein, z.B. mit dsacls. Dann bildet das Skript auch gleich die Dokumentation. Und man braucht eine gute Testumgebung. Erst wenn es da fertig ist, wendet man das Skript auf die Produktion an. Gruß, Nils bearbeitet 17. Januar 2023 von NilsK 1 Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 17. Januar 2023 Melden Teilen Geschrieben 17. Januar 2023 Hi, wenn ich dich richtig verstehe: Ja, du kannst das Erstellen / Bearbeiten von Gruppen delegieren: Delegate AD group management - Active Directory FAQ. Mache es aber nicht in der GUI sondern per Powershell (Set-ACL) oder per Kommandozeile (dsacls). Wenn die User nur bestimmte Funktionen sehen sollen, benötigst du ein eigenes Frontend, was nur das Gewünschte anzeigt. Evtl. wäre ein PowerShell Script ein Ansatz ggfs. in Verbindung mit JEA (Übersicht zu Just Enough Administration (JEA) - PowerShell | Microsoft Learn). Gruß Jan Zitieren Link zu diesem Kommentar
Neopolis 19 Geschrieben 17. Januar 2023 Autor Melden Teilen Geschrieben 17. Januar 2023 Danke Leute!!! Prima die Antworten. Ich habe es umgesetzt bekommen. Vielen Dank! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.