OU Rechtevererbung

[vision 10]

hi,

 

ich habe auf einer ou rechte vergeben (u.a. Account Operator rausgeschmissen). erstelle ich nun in der ou eine gruppe erhält sie nicht die gleichen berechtigungen wie die ou (z.b. sind die Account Operator wieder drin)?

warum?

 

wie kann ich nachträglich allen objekten in einer ou, die rechte von der ou vererben?

 

gruss

vision

[Perin 10]

Ich verstehe nicht ganz, was Du meinst:

 

- Rechte vergibt man über Gruppen, nicht OUs.

 

- GPOs kannst Du auf OUs anwenden, wirken sich aber nur auf in den OUs enthaltene Computer- und Benutzerkonten aus (NICHT Gruppen)

 

- Du kannst Benutzern oder Gruppen Rechte _an_ einer OU geben, d.h. die entsprechenden Principals können dann die OU verwalten.

 

cu,

 

Perin

[Xheon 10]

Schliesse mich Perin an

 

Gruppen sind nicht für die GPO's gedacht, sondern dass mann Rechte von NTFS oder Freigaben einfacher lösen kann, als immer jeder Benutzer einzutragen welcher jetzt auf dieses Laufwerk Zugriff hat und wer nicht!!

 

Verschiebe mal die Benutzerkonten in dieses Ou wo du die GPO anwendest!!

[vision 10]

sorry, habe mich wohl nicht eindeutig ausgedrückt:

 

1.) ich möchte die verwaltung einer ou delegieren und einschränken. z.b. habe ich aus einer ou die "account operators" entfernt und eine spezielle gruppe eingefügt die dort die verwaltung der user und gruppen übernehmen soll. erstelle ich jetzt in dieser ou eine gruppe, stehen dort wieder die "account operator" drin. sie bekommt die rechte also nicht von dieser ou vererbt.

 

2.) wie kann ich die rechte einer ou nachträglich auf allen drunterliegenden objekte vererben? (so wie es bei ntfs-rechten möglich ist geht es anscheinend nicht)

 

grüsse

vision

[Xheon 10]

Wenn ich es noch richtig im Kopf habe, musst du wenn du ein Ou jemanden zur Verwaltung geben willst diese Person / Gruppe eintragen. Rechtsklick auf die Ou dann Eigenschaften und glaubs Verwaltet. Dort kannst du die Personen Eintragen welche dieses OU Verwalten darf

 

zum Punkt 2 die Option heisst Gruppenrichlinie Übernehmen!!

[vision 10]

die rechte habe ich in der ou gesetzt, bloß steht in der berechtigung einer gruppe, die ich in der ou erstelle was anderes drin als in der ou !?

 

d.h. in der ou habe ich den "account operator" unter security alle rechte genommen. lege ich eine gruppe in der ou an stehen dort in der security die "account operator" wieder drin??

[Xheon 10]

Schick doch ein paar Printscreens, mit den Optionen welche du getan hast, würde weiter helfen.

 

Kann mir die ganze sache noch nicht ganz vorstellen!!

oder versuch ein wenig genauer zubeschreiben, welche Schritte zu getan hast

[vision 10]

ok, jetzt mit jpg :-)

 

step 1)

- ich erzeuge eine OU. automatisch haben die "account operatoren" full-controll auf die ou.

- ich entferne die "account operatoren", da in der ou administratoren konten stehen, die nicht von accountoperatoren editiert werden dürfen, sonder nur von domain admins.

 

step2)

- ich erzeuge in der ou eine globale gruppe

- automatisch haben die "account operatoren" full-controll auf die ou. WARUM ?

 

die account operatoren sind auch nicht repliziert worden, da sie nicht grau unterlegt sind?

 

ich hoffe das es jetzt einigermaßen verständlich ist, falls nicht bitte bescheid sagen.

 

grüsse

[vision 10]

sorry, kleiner fehler bei step 2.

die account operatoren bekommen natürlich full-controll auf die neue gruppe nicht auf die ou

[Perin 10]

Nimm mal das "vererbbare übergeordnete Berechtigungen übernehmen" raus.

[vision 10]

da die berechtigungsfelder beim account operator nicht grau hinterlegt sind (siehe bild) ist die berechtigung nicht vererbt. habs aber trotzdem mal ausprobiert (vererbung in der ou rausgenommen) und eine neue gruppe angelegt. > account operatoren bekommen wieder vollzugriff?

 

nur wenn ich eine nt-gruppe per "delegation" rechte auf eine ou gebe werden in allen darin enthaltenen objekten die neu deligierte gruppe nachgezogen.

 

Anscheinend werden die Account operatoren IMMER standardmäßig gesetzt!?

[Perin 10]

Mag sein, wär ja auch logisch. Letzte Möglichkeit wäre, den Kontenoperatoren den (Schreib-)Zugriff explizit zu verweigern.

[vision 10]

hab ich auch schon dran gedacht. ich finde das ist aber keine saubere lösung....

[Xheon 10]

Wenn du bei der Ou, die Recht vererbund rausnimmst und dann die Kontooperatoren rausnimmst??

[vision 10]

die kontooperatoren bekommen nicht per vererbung rechte auf die gruppe. ich denke, das die gruppe immer vom system gesetzt wird. werd ich die tage nochmal genau abchecken und posten