Active Directory - Konsole dsrm löschen

[Hawaii 10]

Hallo

Ich bereite mich gerade mit dem 70-290 Buch von addison-Wesley vor und mache alles brav nach wie es im Buch steht.

Gestern wollte ich auf meinem Windows 2003 mit dem Konsolen Befehl "dsrm" ein Objekt löschen. Mit folgendem Befehl:

 

dsrm <DN> -subtree -exclude

 

Für DN habe ich den richtigen definierten Namen (natürlich auf meine Struktur angepasst) angegeben. Er fragt auch nach ob ich das wirklich löschen will. Danach bleibt er aber beim ersten Benutzerkonto hängen und sagt:

 

dsrm ist fehlgeschlagen: <DN>: Zugriff verweigert

 

Diesmal wird die DN mit der CN des Benutzers angegeben, weil es ja um den ersten Benutzer geht. Kann mir jemand sagen warum das nicht geht? Ich habe in den Eigenschaften des Benutzerkontos nachgeschaut und nichts gesehen, was den Zugriff einschränkt.

 

Wenn ich in dem Befehl dsrm <DN> -subtree -exclude die DN mit CN angeben, funktioniert der Befehl (auch wenn ich keine Änderung sehe, es wird mir aber bestätig das es funktioniert hat), ohne -exclude verweigert er mir wieder den Zugriff.

 

Mache ich da vielleicht einen grundsätzlichen Fehler? Unter dsrm /? kann ich auch nichts finden.

 

Es wäre toll, wenn ihr mir helfen könntet.

Gruß an alle

[Christoph35 10]

Hi,

 

ich kenne jetzt das Buch leider nicht, habe das aber grad mal bei mir probiert mit einer TestOU und ein paar Objekten in der OU.

 

Mit dem von Dir angegebenen Befehl soll wohl der Inhalt einer OU gelöscht werden, die OU selbst aber bestehen bleiben.

 

Rchtig wäre in dem Fall der befehl:

dsrm -subtree -exclude ou=<name der ou>,dc=<name der domain>,dc=<tld>

 

Das müsste funktionieren.

 

Ansonsten poste doch mal bitte genau, was du versucht hast.

 

Christoph

[Hawaii 10]

Hallo und danke erstmal.

Ich habe unter der Domäne Weiterstadt.local eine OU Mannheim und darunter eine OU Benutzer und eine OU Workstations. In der OU Benutzer habe ich ein paar Konten angelegt. Mit dem Befehl dsrm will ich jetzt den Container Benutzer löschen. Dazu gebe ich folgendes ein:

 

dsrm -subtree -exclude "ou=Benutzer,ou=Mannheim,dc=Weiterstadt,dc=local"

 

Ich habe die DN in Anführungszeichen gesetzt, weil es so im Buch steht (auch wenn ich keinen Namen mit Leerzeichen habe), aber auch ohne kommt folgende Fehlermeldung:

 

dsrm ist fehlgeschlagen:CN=Otto Schmidt,OU=Mannheim,OU=Benutzer,DC=Weiterstadt,DC=Local:Zugriff verweigert

 

Es kommt dann noch der Hinweis es mal mit dsrm /? zu probieren. Da steht aber nichts über ihrgentwelche Zugriffe drinnen. Muss das Benutzerkonto mit ich am Server angemeldet bin zu einer bestimmten Gruppe gehören? Ich bin Gruppe von: Domän-Benutzer, Domän-Admins, Remotedesktopbenutzer, Benutzer und Administratoren

 

Gruß und tausend Danke

[Operator 10]

Hi,

 

Domänen-Admins sollte auf jeden Fall reichen.

 

Versuch das ganze mal über den Administrator-Account der Domäne (falls Du nicht schon mit dem angemeldet bist).

 

Alternativ klick mal mit rechts auf die OU -> Eigenschaften und prüf die Berechtigungen im Reiter Sicherheit.

 

Gruß

Andre

[Hawaii 10]

Supi Danke!

Mit dem Administrator der Domäne geht es. Es scheint an der Benutzer-Gruppe "Organisations-Admins" zu liegen. Nachdem ich sie meinem normalen Admingegegeb habe hat es auch dort funktioniert.

 

tausend Danke an alle

[Christoph35 10]

Hmm,

 

also es reicht definitiv, dsrm mit einem Benutzerkonto auszuführen, dass Mitglied von Domain-Admins ist. Enterprise Admins (orga.-admins) ist standardmäßig nicht erforderlich.

Es sei denn, man hätte, wie Operator schreibt, schon an den Berechtigungen etwas geändert.

 

Christoph