lefg 276 Geschrieben 18. Mai 2008 Melden Geschrieben 18. Mai 2008 Hallo Gemeinde. in die Computerkonten des AD, in das Feld Beschreibung, sollen die Maschinen und die Benutzer per Batch Einträge machen können. Die Batch wird gestartet auf einer Gruppenrichtlinie in der Computer- und im Benutzerkonfiguration. Ich möchte nicht Jeder Zugriff auf das komplette Computerkonto gewähren sondern nur auf das Feld Beschreibung. Wahrscheinlich ist das mit ADEdit oder so zu machen, ich stehe momentan aber total im Nebel. Hat bitte jemand einen Tipp für mich? Habt Dank für Aufmerksamkeit und Rat. Edgar
Daim 12 Geschrieben 18. Mai 2008 Melden Geschrieben 18. Mai 2008 Servus Edgar, Ich möchte nicht Jeder Zugriff auf das komplette Computerkonto gewähren sondern nur auf das Feld Beschreibung. dann musst du die entsprechenden Berechtigungen im Container COMPUTERS für die Benutzer setzen. Das Feld Beschreibung ist im AD das Attribut "description". Hierauf musst du den Benutzern die Berechtigungen Read_Property (RP) sowie Write_Property (WP) setzen. Führe auf dem Container Computers den Objektdelegierungsassistenten aus und wähle einen "benutzerdefinierten Task". Danach wählst du im nächsten Schritt lediglich "Computer-Objekte" und wählst im darauffolgenden Fenster "Beschreibung lesen" sowie "Beschreibung schreiben". Du kannst den Assistenten natürlich auch überspringen und führst das direkt in der DACL (erweiterte Sicherheitseinstellungen im Container Computers) des Container Computers durch.
olc 18 Geschrieben 18. Mai 2008 Melden Geschrieben 18. Mai 2008 Hi Edgar, ohne an dieser Stelle auf die Sicherheitsbedenken einzugehen kannst Du verschiedene Wege gehen. Es stehen mehrere GUI Möglichkeiten als auch einige Scripting Möglichkeiten offen. Exemplarisch zwei mögliche Wege: Ich gehe davon aus, daß die Computer Objekte verteilt in der Struktur liegen?Entweder auf CN / OU Level oder falls nötig auf dem Domain Level in der AD User & Computer MMC Rechtsklick --> "Eigenschaften" --> "Sicherheit" Tab --> "Erweitert" --> "Hinzufügen" --> in Deinem Fall dann "Domänen-Computer", "Domänen-Benutzer" und ggf. "Domänen-Admins" etc. hinzufügen (oder welche Sicherheitsprinzipale auch immer) --> dann im folgenden Dialog den Tab "Eigenschaften" wählen, "Computer"-Objekte als Objekttypen auswählen und die Lese- / Schreibberechtigung für die "Eigenschaften" hinzufügen. Auf der Kommandozeile: dsacls "DC=domain,DC=tld" /I:S /G "DOMAIN\Domänen-Benutzer":WPRP;description;computer Ggf. Gruppennamen noch anpassen (deutsch / englisch) und die weiteren gewünschten Gruppen neben den Domänen-Benutzern hinzufügen. [EDIT] Daim war schneller... :) [/EDIT] Viele Grüße olc
Daim 12 Geschrieben 18. Mai 2008 Melden Geschrieben 18. Mai 2008 Auf der Kommandozeile: Off-Topic:Es muss daran liegen, dass ich erst kurz vor dem schreiben meiner Antwort aufgestanden bin. Denn für meinen nächsten Blog-Eintrag beschreibe ich gerade DSACLS, das ich hier nicht erwähnt habe. Wenn meine Maschinen bereits auf Hochtouren gewesen wären und ich das immer noch vergessen hätte zu erwähnen, wäre das schon fast peinlich. ;)
lefg 276 Geschrieben 18. Mai 2008 Autor Melden Geschrieben 18. Mai 2008 Hallo Kameraden, ich danke für die Tipps, das wird mich wohl weiterbringen dabei. Leider bleibe ich momentan an einer andern Sache hängen, ein anders Problem in diesen Kontext, ich mache ein anderer Thread draus. Dank und Gruß Edgar
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden