Nasi_be 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Hallo zusammen, es hat lange gedauert, aber jetzt bin ich folgendem Problem auf die Schliche gekommen: Ich verwalte eine Windows-Domäne mit einem W2k3-DC in einer Schule. In der Domäne gibt es eine Gruppe Lehrer, die Mitglied in den Gruppen Konten-Operatoren und Server-Operatoren ist. Jetzt soll es möglich sein, daß ein Lehrer weitere Lehrer anlegen kann. D.h. er braucht das Recht zusätzliche Personen in die Gruppe Lehrer aufzunehmen. Deswegen habe ich zwei Dinge probiert: 1. Ich habe unter Sicherheit der Gruppe Lehrer dem Eintrag SELBST Vollzugriff gegeben 2. Ich habe unter Sicherheit der Gruppe Lehrer den Eintrag Lehrer mit Vollzugriff hinzugefügt Aber egal, welchen Weg ich gehe, nach spätestens 60 Minuten ist der Eintrag wieder zurückgesetzt. Mittlerweile habe ich herausgefunden, daß dabei ein Eintrag im EventLog angelegt wird: Quelle: Security Kategorie: Kontenverwaltung Ereigniskennung: 684 Benutzer: ANONYMOUS-ANMELDUNG Beschreibung: ACLs von Mitgliedern in Administratorgruppen festlegen: Zielkontoname: <Lehrergruppe> Zieldomäne: <Domäne> Zielkontokennung: <Domäne>\<Lehrergruppe> Aufruferbenutzername: <Server>$ Aufruferdomäne: <Domäne> Aufruferanmeldekennung: (0x0,0x3E7) Berechtigungen: - Nach einer Internetrecherche habe ich dann folgendes zur EvendID 684 gefunden: EventSentry Help v2.71 Unter EventID 684 finde ich da folgende Meldung: Event ID: 684 The security descriptor of administrative group members was set. Note: Every 60 minutes on a domain controller, a background thread searches all members of administrative groups (such as domain, enterprise, and schema administrators) and applies a fixed security descriptor on them. This event is logged. Ist ja nett, daß Windows einem Administrator so sehr vertraut, dass die gemachten Einstellungen wieder zurückgesetzt werden. Jetzt habe ich das Problem zwar lokalisiert, aber ich habe noch keine Möglichkeit gefunden das ganze zu beheben. Kennt jemand eine Möglichkeit entweder diesen Mechanismus abzuschalten, oder aber die Standard-Einstellungen so zu ändern, daß er diese Berechtigung drin läßt? Vielen Dank und Gruß Thomas de Lange Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Hilft Dir das weiter ? Delegated permissions are not available and inheritance is automatically disabled Zitieren Link zu diesem Kommentar
Nasi_be 10 Geschrieben 1. September 2006 Autor Melden Teilen Geschrieben 1. September 2006 Perfekt! Das ist genau das, was ich gesucht habe. Ich weiß zwar noch nicht genau, welcher der vorgeschlagenen Lösungsansätze der beste ist, (Mitgliedschaften zu ändern, kommt leider nicht in Frage.) aber ich weiß jetzt auf jeden Fall wonach ich suchen kann. Vielen Dank und Gruß Thomas de Lange Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.