vision 10 Geschrieben 5. November 2002 Melden Teilen Geschrieben 5. November 2002 hi, ich habe auf einer ou rechte vergeben (u.a. Account Operator rausgeschmissen). erstelle ich nun in der ou eine gruppe erhält sie nicht die gleichen berechtigungen wie die ou (z.b. sind die Account Operator wieder drin)? warum? wie kann ich nachträglich allen objekten in einer ou, die rechte von der ou vererben? gruss vision Zitieren Link zu diesem Kommentar
Perin 10 Geschrieben 5. November 2002 Melden Teilen Geschrieben 5. November 2002 Ich verstehe nicht ganz, was Du meinst: - Rechte vergibt man über Gruppen, nicht OUs. - GPOs kannst Du auf OUs anwenden, wirken sich aber nur auf in den OUs enthaltene Computer- und Benutzerkonten aus (NICHT Gruppen) - Du kannst Benutzern oder Gruppen Rechte _an_ einer OU geben, d.h. die entsprechenden Principals können dann die OU verwalten. cu, Perin Zitieren Link zu diesem Kommentar
Xheon 10 Geschrieben 5. November 2002 Melden Teilen Geschrieben 5. November 2002 Schliesse mich Perin an Gruppen sind nicht für die GPO's gedacht, sondern dass mann Rechte von NTFS oder Freigaben einfacher lösen kann, als immer jeder Benutzer einzutragen welcher jetzt auf dieses Laufwerk Zugriff hat und wer nicht!! Verschiebe mal die Benutzerkonten in dieses Ou wo du die GPO anwendest!! Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 6. November 2002 Autor Melden Teilen Geschrieben 6. November 2002 sorry, habe mich wohl nicht eindeutig ausgedrückt: 1.) ich möchte die verwaltung einer ou delegieren und einschränken. z.b. habe ich aus einer ou die "account operators" entfernt und eine spezielle gruppe eingefügt die dort die verwaltung der user und gruppen übernehmen soll. erstelle ich jetzt in dieser ou eine gruppe, stehen dort wieder die "account operator" drin. sie bekommt die rechte also nicht von dieser ou vererbt. 2.) wie kann ich die rechte einer ou nachträglich auf allen drunterliegenden objekte vererben? (so wie es bei ntfs-rechten möglich ist geht es anscheinend nicht) grüsse vision Zitieren Link zu diesem Kommentar
Xheon 10 Geschrieben 6. November 2002 Melden Teilen Geschrieben 6. November 2002 Wenn ich es noch richtig im Kopf habe, musst du wenn du ein Ou jemanden zur Verwaltung geben willst diese Person / Gruppe eintragen. Rechtsklick auf die Ou dann Eigenschaften und glaubs Verwaltet. Dort kannst du die Personen Eintragen welche dieses OU Verwalten darf zum Punkt 2 die Option heisst Gruppenrichlinie Übernehmen!! Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 6. November 2002 Autor Melden Teilen Geschrieben 6. November 2002 die rechte habe ich in der ou gesetzt, bloß steht in der berechtigung einer gruppe, die ich in der ou erstelle was anderes drin als in der ou !? d.h. in der ou habe ich den "account operator" unter security alle rechte genommen. lege ich eine gruppe in der ou an stehen dort in der security die "account operator" wieder drin?? Zitieren Link zu diesem Kommentar
Xheon 10 Geschrieben 6. November 2002 Melden Teilen Geschrieben 6. November 2002 Schick doch ein paar Printscreens, mit den Optionen welche du getan hast, würde weiter helfen. Kann mir die ganze sache noch nicht ganz vorstellen!! oder versuch ein wenig genauer zubeschreiben, welche Schritte zu getan hast Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 6. November 2002 Autor Melden Teilen Geschrieben 6. November 2002 ok, jetzt mit jpg :-) step 1) - ich erzeuge eine OU. automatisch haben die "account operatoren" full-controll auf die ou. - ich entferne die "account operatoren", da in der ou administratoren konten stehen, die nicht von accountoperatoren editiert werden dürfen, sonder nur von domain admins. step2) - ich erzeuge in der ou eine globale gruppe - automatisch haben die "account operatoren" full-controll auf die ou. WARUM ? die account operatoren sind auch nicht repliziert worden, da sie nicht grau unterlegt sind? ich hoffe das es jetzt einigermaßen verständlich ist, falls nicht bitte bescheid sagen. grüsse Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 6. November 2002 Autor Melden Teilen Geschrieben 6. November 2002 sorry, kleiner fehler bei step 2. die account operatoren bekommen natürlich full-controll auf die neue gruppe nicht auf die ou Zitieren Link zu diesem Kommentar
Perin 10 Geschrieben 6. November 2002 Melden Teilen Geschrieben 6. November 2002 Nimm mal das "vererbbare übergeordnete Berechtigungen übernehmen" raus. Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 7. November 2002 Autor Melden Teilen Geschrieben 7. November 2002 da die berechtigungsfelder beim account operator nicht grau hinterlegt sind (siehe bild) ist die berechtigung nicht vererbt. habs aber trotzdem mal ausprobiert (vererbung in der ou rausgenommen) und eine neue gruppe angelegt. > account operatoren bekommen wieder vollzugriff? nur wenn ich eine nt-gruppe per "delegation" rechte auf eine ou gebe werden in allen darin enthaltenen objekten die neu deligierte gruppe nachgezogen. Anscheinend werden die Account operatoren IMMER standardmäßig gesetzt!? Zitieren Link zu diesem Kommentar
Perin 10 Geschrieben 7. November 2002 Melden Teilen Geschrieben 7. November 2002 Mag sein, wär ja auch logisch. Letzte Möglichkeit wäre, den Kontenoperatoren den (Schreib-)Zugriff explizit zu verweigern. Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 7. November 2002 Autor Melden Teilen Geschrieben 7. November 2002 hab ich auch schon dran gedacht. ich finde das ist aber keine saubere lösung.... Zitieren Link zu diesem Kommentar
Xheon 10 Geschrieben 7. November 2002 Melden Teilen Geschrieben 7. November 2002 Wenn du bei der Ou, die Recht vererbund rausnimmst und dann die Kontooperatoren rausnimmst?? Zitieren Link zu diesem Kommentar
vision 10 Geschrieben 7. November 2002 Autor Melden Teilen Geschrieben 7. November 2002 die kontooperatoren bekommen nicht per vererbung rechte auf die gruppe. ich denke, das die gruppe immer vom system gesetzt wird. werd ich die tage nochmal genau abchecken und posten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.