Delegierung ADS

[mc02000]

Hallo ADS Cracks.

Hat jemand eine Idee,
wie man folgendes delegieren kann?

Delegierung von "Computerobjekten" in der OU "Computers"

Die Subadmins sollen nun die "Computerobjekte" in ihren
Zweig verschieben können sowie das "Beschreibungsfeld"
der "Computerbojekts" bearbeiten können.


Vielleicht hat da ja jemand eine Idee von euch,
welches Option / Objekt für diese Option zuständig ist.


Gruß
mc

[LukasB]

Du kannst mit redircmp dafür sorgen das Computer neu in einer beliebigen OU erzeugt werden. Bin mir nicht sicher ob dir das bei deinem Problem hilft.

[nschlueter]

Hi,

ich vermute mal, Du möchtest bestimmten Usern oder Gruppen erhöhte Rechte erteilen. Dann Rechtsklick auf die OU und Aufgaben delegieren.

Gruß Nils

[Daim]

Servus,

Zitat von mc02000 Die Subadmins sollen nun die "Computerobjekte" in ihren Zweig verschieben können

- es muss das Recht DELETE CHILD (DC) in dem Quell-Container gesetzt werden.
- es muss das Recht WRITE PROPERTIES (WP) für die beiden Eigenschaften RDN sowie CN auf dem Quell-Container gesetzt werden.
- es muss das Recht CREATE CHILD (CC) auf dem Ziel-Container gesetzt werden.

Du solltest das ganze mit DSACLS durchführen.

sowie das "Beschreibungsfeld" der "Computerbojekts" bearbeiten können.

Schau dir dazu in diesem Artikel unterhalb von DSACLS den Befehl an:

Yusuf`s Directory - Blog - Objektdelegierungen einrichten

[NorbertFe]

Zitat von nschlueter ich vermute mal, Du möchtest bestimmten Usern oder Gruppen erhöhte Rechte erteilen. Dann Rechtsklick auf die OU und Aufgaben delegieren.

Ja, nur welche?

@OP du mußt die delegwiz.inf anpassen, wenn du es direkt als Wizard ausführen willst. Ansonsten einfach die Berechtigungen unten manuell zusammenklicken.

;---------------------------------------------------------
[template14]
AppliesToClasses=domainDNS,organizationalUnit,container

Description="Ermöglicht das Verschieben von Computerkonten"

ObjectTypes=SCOPE, computer

[template14.SCOPE]
computer=CC,DC

[template14.computer]
name=RP,WP
cn=RP,WP

;----------------------------------------------------------

[mc02000]

hi.

Erst mal besten Dank.

Leider kann ich mit deinen Infos nicht all zu viel anfangen.
Welche Haken muss ich denn setzen bzw.
wo finde ich die Datei "delegwiz.inf"
Ist diese Datei direkt für die komplette ADS (also einmalig),
oder gibt es diese Datei für jede OU etc.

ads.jpg


Besten Dank und viel Spass beim Fussi.

mc

[NorbertFe]

Zitat von mc02000 Leider kann ich mit deinen Infos nicht all zu viel anfangen.

Schlecht.

Welche Haken muss ich denn setzen bzw. wo finde ich die Datei "delegwiz.inf"

Auf jedem Server der das Adminpak installiert hat. Und du mußt sie dort anpassen, wo du den neuen Task einfügen willst. Also bspw. auf deinem Admin-PC.

Ist diese Datei direkt für die komplette ADS (also einmalig), oder gibt es diese Datei für jede OU etc.

Nee. Das Ding gilt für alle, ist aber nur auf dem Server/PC vorhanden, wo du sie geändert hast.
How to customize the task list in the Delegation Wizard

Bye
Norbert

PS: Es wäre jetzt zuviel verlangt gewesen, wenn du einfach mal nach der Datei (in google, und auf einem Server) gesucht hättest?

[mc02000]

...
habe gerade mal nach deiner INF Datei geschaut.
Die Datei liegt auf meinem DC in folgendem Verzeichnis
c:\Windows\inf

Da ich ca. 10 DC´s in meiner Domäne habe,
ergibt sich folgende Frage:
- muss diese Änderung an jedem DC vorgenommen werden?

In meiner INF geht es nur bis zum Punkt
[template13]

Gruß
mc

[Daim]

Zitat von mc02000 ...bzw. wo finde ich die Datei "delegwiz.inf"

Warum suchst du nicht auf dem Server danach?

Die delegwiz.inf Datei befindet sich unter Windows 2000 sowie Windows Server 2003 im Verzeichnis %windir%\Inf und unter Windows Server 2008 im Verzeichnis %windir%\System32.

Ist diese Datei direkt für die komplette ADS (also einmalig), oder gibt es diese Datei für jede OU etc.

Diese Datei gibt es einmal pro DC. Die einzelnen Möglichkeiten die einem der Delegierungsassistent dem Administrator bietet, stammen aus der delegwiz.inf Datei. Das ist eine ganz normale Textdatei die jederzeit verändert werden kann. Den Weg in dem du dir die Berechtigungen einzelnen zusammenklicken kannst, habe ich dir erläutert. Dieses machst du in den erweiterten Sicherheitseinstellungen des Containers bzw. Objekts.

Anstatt die Berechtigungen einzeln auszuwählen, also so wie ich es beschrieben hatte, kannst du auch die Berechtigungen einmalig in die delegwiz.inf eintragen und kannst für die Zukunft bei solchen Aktionen den Assistenten direkt verwenden. Dafür musst du lediglich die Datei mit den Infos von Norbert ergänzen. Der Assistent bietet dir dann eine weitere Möglichkeit.

Bedenke aber, diese zusätzliche Möglichkeit steht dir dann auch nur auf dem DC zur Verfügung, auf dem du die delegwiz.inf bearbeitet hast. Auf einem anderen DC der Domäne, steht dir das dann nicht zur Verfügung, es sei denn, du kopierst die bearbeitete delegwiz.inf dann auf allen DCs. Dann steht überall dieser Punkt zur Verfügung.


–

Zitat von mc02000 - muss diese Änderung an jedem DC vorgenommen werden?

Nein, nicht zwingend. Wenn du die Ergänzung bloß auf einem DC durchführst, dann steht dir zum einrichten der Berechtigung eben die Möglichkeit nur auf einem DC zur Verfügung. Du musst also beim nächsten Mal diesen einen DC verwenden, wenn du jemand anderem die gleiche Berechtigung durch den Assistenten vergeben möchtest.

Soll diese Möglichkeit auf allen DCs zur Verfügung stehen, würde ich die angepasste delegwiz.inf auf die anderen DCs kopieren.

In meiner INF geht es nur bis zum Punkt [template13]

Korrekt. Standardmäßig beinhaltet der Assistent 13 vorgegebene Berechtigungen. Du fügst dort nun den Eintrag 14 mit den Infos von Norbert hinzu.

Ich sage nur, learning by doing.

[NorbertFe]

Zitat von mc02000 ... habe gerade mal nach deiner INF Datei geschaut. Die Datei liegt auf meinem DC in folgendem Verzeichnis c:\Windows\inf

Na sowas.

Da ich ca. 10 DC´s in meiner Domäne habe, ergibt sich folgende Frage: - muss diese Änderung an jedem DC vorgenommen werden?

Wenn du den Wizard auf jedem DC ausführen willst, dann mußt du das halt auf jedem DC machen (oder kopieren).

In meiner INF geht es nur bis zum Punkt [template13]

Nu rate mal, warum mein Beispiel
;---------------------------------------------------------
[template14]

heißt.


Bye
Norbert