2K3 - Verständnisprobleme bei ADS Projekt

[Grisu1982]

Hallo zusammen ich hoffe mir kann hier jemand weiterhelfen.

Ich bin grade dabei mich in ADS, mit Hilfe eines Projektes, einzuarbeiten.
Einen großen Teil habe ich auch schon gelöst doch habe ich im moment ein kleines Problem, bei dem ich weder durch googeln noch durch Bücher weitergekommen bin.

Meine Grundstruktur sieht so aus:

Ich habe eine Domäne einer Firma mit unterschiedlichen Abteilungen.

Ich habe einen Ordner mit dem Namen der Firma angelegt.
Darunter liegt für jede Abteilung eine OU.
Jeweils ein Mitarbeiter der entsprechenden Abteilung soll seine Abteilung
administrieren dürfen. Benutzer anlegen und unter OUs.


Eine Idee dies zu ermöglichen ist:

- Abteilungs-ou anklicken
- Objektverwaltung zuweisen anklicken
- Den entsprechenden Benutzer aus der OU hinzufügen
- und als nächstes die Berechtigungen setzen.

Die zweite Idee ist eine Benutzergruppe für Abteilungs-Administratoren anzulegen. (Wird glaube ich vom Kursleiter bevoezugt)
Hierbei weis ich nicht wie ich dies praktisch umsetze.

Brauche ich eine Abteilungsadministratoren Gruppe für jede Abteilung seperat oder kann ich auch EINE Abteilungsadministratorengruppe anlegen, so das der hier hinzugefügte Benutzer automatisch die Administrationsrechte für die OU erhält in der er sich befindet

Wenn ich eine Benutzergruppe Buchaltungsadministratoren erzeuge, wie kann ich dieser Gruppe die Berechtigung zuweisen Benutzer hinzu zufügen usw.

Wie geht das unter dem Reiter eigenschaften Sicherheit?
Oder macht man das per GPO???

Dann habe ich einem Nutzer nach der ersten Idee für seine OU die Berechtigung gegeben Benutzer hinzu zufügen usw. Jetzt wollte ich im Testaufbau testen ob es funktioniert.

Ich habe nur noch nicht verstanden wie dieser Nutzer von seinem Windows XP PR Client die Benutzer verwalten soll.

Über Systemsteuerung Benutzer und gruppen geht es nicht.
Dann habe ich versucht über mmc eine Konsole für die Aufgebe zu erstellen
aber das bringt auch nichts.?

Ich hoffe ihr könnt mir helfen. Schonmal Danke im voraus.

[sschulz80]

Zitat von Grisu1982 Eine Idee dies zu ermöglichen ist: - Abteilungs-ou anklicken - Objektverwaltung zuweisen anklicken - Den entsprechenden Benutzer aus der OU hinzufügen - und als nächstes die Berechtigungen setzen.

das ist durchaus möglich jedoch nur in kleinen Umgebungen und selbst da nicht immer empfehlenwert, da man doch recht schnell den überblick über die gegebenen berechtigungen verliert, und dies kann u.U ein problem für die Sicherheit darstellen.

Zitat von Grisu1982 Die zweite Idee ist eine Benutzergruppe für Abteilungs-Administratoren anzulegen. (Wird glaube ich vom Kursleiter bevoezugt) Hierbei weis ich nicht wie ich dies praktisch umsetze.

Deutlich bessere variante da hier die Berechtigungen an die Gruppe deligiert wird. Und somit eine bessere übersicht gegben ist. Es geht schneller die Berechtigungen einer gruppe zu ändern und user in diese einzufügen oder zu entfernen, als berechtigungen für einzelne user zu setzen und die auch nach einiger Zeit nachvollziehen zu können.

Zitat von Grisu1982 Wenn ich eine Benutzergruppe Buchaltungsadministratoren erzeuge, wie kann ich dieser Gruppe die Berechtigung zuweisen Benutzer hinzu zufügen usw.

über AD Benutzer & Computer -> rechtklick auf OU -> Objektverwaltung zuweisen -> dann entsprechnende User / Gruppen hinzufügen und die berechtig-ungen setzen

Zitat von Grisu1982 Ich habe nur noch nicht verstanden wie dieser Nutzer von seinem Windows XP PR Client die Benutzer verwalten soll.

der Benutzer brauch natürlich die entsprechenden Konsolen -> Admipack / RSAT
Es ist auch möglich entsprechende Konsolen vorzubereiten und den Usern an die Hand zu geben.

[NilsK]

Moin,

Ergänzung zu "sschulz80":

Zitat von Grisu1982 Brauche ich eine Abteilungsadministratoren Gruppe für jede Abteilung seperat oder kann ich auch EINE Abteilungsadministratorengruppe anlegen, so das der hier hinzugefügte Benutzer automatisch die Administrationsrechte für die OU erhält in der er sich befindet

in deinem Szenario brauchst du pro "Abteilung" (bzw. OU) eine eigene Gruppe. Wenn du nur eine nähmest, dann könnten die Mitglieder dieser Gruppe in jeder OU administrieren.

Wenn ich eine Benutzergruppe Buchaltungsadministratoren erzeuge, wie kann ich dieser Gruppe die Berechtigung zuweisen Benutzer hinzu zufügen

Genauso wie bei Userkonten, nur eben mit der Gruppe.

Gruß, Nils