Jump to content
Sign in to follow this  
Phoenix (Jan)

MMC Konsole !!

Recommended Posts

Hallo zusammen!!!

 

Ich möchte einem Benutzer in einem Netzwerk "Win2k Domäne" die möglichkeit geben die Passwörter einer bestimmten gruppe zu ändern.

 

Das er bestimmte Rechte dafür haben muss ist soweit klar.

 

Aber ich möchte im nicht mit der MMC Konsole die komplette Active Directory Verwaltung überlassen.

 

Gibt es vielleicht ein Snap In welches nur das zurücksetzen eines Benutzerkontos ermöglicht.

 

Viele Grüße

 

JAN

Share this post


Link to post

soweit so gut habe es jetzt schon soweit gebracht das ich auf dem server die konten zurück setzen kann.

 

allerdings läuft diese console nicht auf den client ??

 

Hat eine ne Idee ??

 

Gruß Jan

Share this post


Link to post

Hi,

du kannst dir für spezielle Aufgaben der einzelnen Benutzer ein sogenanntes Taskpad definieren...hast du das schonmal probiert?

Müsste eigentlich auch in der Hilfe beschrieben stehen.

 

Mfg,

Whitewater

Share this post


Link to post

Danke für deine Anwort aber ich habe es auch schon alleine in Griff bekommen.

 

Das man Taskpads erstellen kann wußte ich auch schon.

Aber ich habe angenommen das ich einem User die MMC zur verfügung stellen kann ohne den Terminal Client zu benutzen.

 

Tja ich hab dafür noch keine Lösung gefunden. Auch nicht wie ich den Snap In für den isa Server auf andere Server oder pc übertragen kann.

 

Gruß Phoenix

Share this post


Link to post

Wenn ein Benutzer von seinem Client aus die Benutzer in der AD verwalten soll, mußt Du ihm zusätzlich zum Taskpad noch die "Administrationsprogramme" installieren -> adminpak.msi im "\i386" von der Server-CD.

Share this post


Link to post

Soweit so gut allerdings habe ich das mit administrator Pack auch schon etwas früher ausprobiert.

 

Allerdings man möge mich berichtigen wenn ich falsch liege bin ich der Meinung das ich damti dem Benutzer Administrative Rechte im Active Directory verschaffe.

 

Er kann dann von alleine seine MMC Konsole dazu benutzen und wie er möchte einstellen.

 

Er kann auch als normaler Benutzer im Active Directory Benutzer usw löschen erstellen wie er möchte.

 

Wie gesagt das habe ich selber ausprobiert, deshalb habe ich mich auch für die Terminal anwendung entschieden.

 

Da kann ich bestimmen das ich nur die MMC konsole aufmachen möchte nicht mehr und die zu beschränken ist nicht das Ding.

 

Aber danke für die Vorschläge !!! Allerdings sollte man vom installieren des Admin Packs auf Client´s Abstand nehmen es sei den man definiert noch genaue Regel dafür !!

 

 

 

Gruß JAN

Share this post


Link to post
Original geschrieben von Phoenix (Jan)

...

Allerdings man möge mich berichtigen wenn ich falsch liege bin ich der Meinung das ich damti dem Benutzer Administrative Rechte im Active Directory verschaffe.

...

 

Nur durch die Installation des adminpak.msi auf dem Client, bekommt der Benutzer keinerlei adminstrative Berechtigung innerhalb der AD!!!

Wer was in der AD darf (z.B. Objekte anlegen, Passwörter ändern, ...), wird über die DACLs der jeweiligen Objekte geregelt (vergleichbar mit den ACLs im NTF-Dateisystem).

 

Original geschrieben von Phoenix (Jan)

...

Er kann auch als normaler Benutzer im Active Directory Benutzer usw löschen erstellen wie er möchte.

...

Könnte es vielleicht sein, dass die "normalen Benutzer" etwas viel Berechtigungen in "deiner" AD-Domäne haben? Standard ist für Domänen-Benuzter /Authentifizierte Benutzer eigentlich nur Lese-Recht auf die Objekte.

Die DACLs in der Domäne kann man auf 2 Wegen ändern:

# "kreative direkt in der DACL über Sicherheitseinstellungen".

# Mit dem Assistenten -> Objekt mit der rechten Maustaste anklicken und auf "Objektverwaltung delegieren" anklicken.

Die Vorgehensweise per Assistent wird von MS empfohlen, die Berechtiguntgen innerhalb der DACLs sind recht komplex.

Share this post


Link to post

Tja das ist das Problem ich habe halt ne andere Erfahrung gemacht. Meine Benutzer haben auch keine weitergehenden Rechte in der Domäne allerdings können sie halt wenn sie über die MMC Konsole das Active Directory Snap in zur Verfügung haben benutzer anlegen und löschen.

 

Hast wohl recht das es dafür noch Policy´s gibt die ich speziell dafür einstellen muss, aber mein Benutzer hat nur die Standart Rechte.

 

Aber dennoch wenn ich möchte das z.b ein Lehere die Passwörter seine Schüler zurück setzen kann braucht er die passenden Rechte dafür. Wenn er diese aber hat und sie die MMC Konsole selber aufbauen kann ohne die die ich ihm vorgebe kann er noch wesentlich mehr verändern.

 

Ich habe das ganze jetzt mit einem Terminal Server gelöst dort kann ich ihm eine MMC Konsole vorgeben wo er nur die Schüler aus seiner Gruppe sieht und nur die Passwörter zurück setzen kann.

 

Aber dennoch danke für deine Antwort !!!! ;)

 

 

 

Gruß JAN :suspect:

Share this post


Link to post

Na dann kannst Du nur hoffen, dass kein Benutzer Deines Netzwerks auf die Idee kommt, dass adminpak.msi selbst zu installieren (das gibt es im Netz auch als Download).

Das ein "normaler" Benutzer Konten in der AD anlegen und/oder verändern kann, ist auf jeden Fall nicht Standard!!!

Share this post


Link to post

Hi.

 

Wissen ist Macht!

 

Weitergeben von Wissen schafft Lösungen!

 

Das Taskpad muss im Servergespeicherten Profil des Benutzers liegen (Desktop) und kann bis auf einen Menubefehl eingerichtet werden.

 

Also nur Password zurücksetzen und nicht löschen oder anlegen von Benutzern.

 

Günter

Share this post


Link to post

Ok werde mich mal mit den policy´s etwas auseinander setzen.

Ist schon richtig wenn einer auf die Idee kommt das selber zu installieren wäre das schon etwas schlecht.

 

Allerdings haben dazu auch nur wenige die Möglichkeit.

Aber das ganze einzurichten scheint mir immernoch ein größere Aufwand zu sein als das ganze im Terminal Modus laufen zu lassen.

 

 

Ich bedanke mich noch mal und wünsche allen einen schönen Tag.

 

Gruß Phoenix :D

Share this post


Link to post

Hi,

 

hatte ein ähnliches Problem.

Ich hab das wie folgt gelöst:

Hab zuerst das Gewünschte mmc Snap-in geladen.

Dann hab ich mir zu der benötigten OU das Taskpad und einen Eintrag in den Favoriten angelegt.

Anschliesend kannst du über das Menü "Anpassen" alles ausblenden, sodass der benutzer keine Möglichkeit hat in irgendwelche anderen Ordner zu wechseln. Zum Schluss unter "Konsole " auf "Optionen" und da den Konsolenmodus wie gewünscht einstellen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...