Hallo zusammen,
ich suche schon etwas länger werde aber leider nicht fündig. Wie kann man im AD auslesen welches objekt die Vererbung aktiviert oder deaktiviert hat?
Über Hilfe wäre ich sehr dankbar.
Problem ist nämlich dieses: http://www.mcseboard...ung-163788.html
Viele Grüße
AD Auslesen Vererbung aktivert?
Erstellt von
morro
, 22. Mär 2010 13:15
Windows Server 2003 R2 Active Directory
4 Antworten in diesem Thema
#2
NilsK
-
-
- 8.208 Beiträge
Expert Member
Geschrieben 23. März 2010 - 08:35
Moin,
im Berechtigungsfenster unter "Erweitert" wird dir für jeden Eintrag angezeigt, ob und von wo er ererbt ist. Außerdem steht dabei, auf welche Unterobjekte er sich bezieht.
Du kannst dir das auch per dsacls auf der Kommandozeile ausgeben lassen und es in eine Datei umleiten. Die Angaben dort sind aber sehr umfangreich und erfordern einige Konzentration bei der Auswertung.
Gruß, Nils
im Berechtigungsfenster unter "Erweitert" wird dir für jeden Eintrag angezeigt, ob und von wo er ererbt ist. Außerdem steht dabei, auf welche Unterobjekte er sich bezieht.
Du kannst dir das auch per dsacls auf der Kommandozeile ausgeben lassen und es in eine Datei umleiten. Die Angaben dort sind aber sehr umfangreich und erfordern einige Konzentration bei der Auswertung.
Gruß, Nils
Nils Kaczenski
MVP Directory Services: Architecture
... der beste Schritt zur Problemlösung: Anforderungen definieren!
Kostenlosen Support gibt es nur im Forum, nicht privat!
MVP Directory Services: Architecture
... der beste Schritt zur Problemlösung: Anforderungen definieren!
Kostenlosen Support gibt es nur im Forum, nicht privat!
#3
morro
-
-
- 622 Beiträge
Board Veteran
Geschrieben 23. März 2010 - 08:54
Hi Nils,
nochmals vielen Dank für deine Mühe, echt klasse. Hab nochmal im Forum gescuht und folgendes Skript gefunden, welches jedoch für computer den haken setzt http://www.mcseboard...kte-134562.html
Wollte mal versuchen es für User anzupassen und es in meiner Testumgebung genau zu testen.
LG
nochmals vielen Dank für deine Mühe, echt klasse. Hab nochmal im Forum gescuht und folgendes Skript gefunden, welches jedoch für computer den haken setzt http://www.mcseboard...kte-134562.html
Wollte mal versuchen es für User anzupassen und es in meiner Testumgebung genau zu testen.
LG
Viele Grüße
Morro
Morro
#4
NilsK
-
-
- 8.208 Beiträge
Expert Member
Geschrieben 23. März 2010 - 09:48
Moin,
das ist erfolgversprechend, aber du solltest a) das sehr genau testen und
den tatsächlichen Bedingungen in eurem AD weiter auf den Grund gehen. AD-Berechtigungen sind ein Vielfaches komplexer als NTFS-Berechtigungen.
Vielleicht hilft dir auch der Schalter /S von dsacls weiter, der die Standardberechtigungen wiederherstellt. Das ist in vielen Situationen deutlich besser, als zusätzliche Komplexität hinzuzufügen.
Gruß, Nils
das ist erfolgversprechend, aber du solltest a) das sehr genau testen und
den tatsächlichen Bedingungen in eurem AD weiter auf den Grund gehen. AD-Berechtigungen sind ein Vielfaches komplexer als NTFS-Berechtigungen.Vielleicht hilft dir auch der Schalter /S von dsacls weiter, der die Standardberechtigungen wiederherstellt. Das ist in vielen Situationen deutlich besser, als zusätzliche Komplexität hinzuzufügen.
Gruß, Nils
Nils Kaczenski
MVP Directory Services: Architecture
... der beste Schritt zur Problemlösung: Anforderungen definieren!
Kostenlosen Support gibt es nur im Forum, nicht privat!
MVP Directory Services: Architecture
... der beste Schritt zur Problemlösung: Anforderungen definieren!
Kostenlosen Support gibt es nur im Forum, nicht privat!
![[Exchange 2010] Postfach an neues AD-Konto geben - letzter Beitrag von NorbertFe](http://www.mcseboard.de/uploads/profile/photo-thumb-43659.jpg?_r=1356902121)
