OU Rechte Delegieren

[Hirgelzwift 10]

Liebe Gemeinde,

 

ich habe da ein Problem bei dem ich nicht so recht weiter komme und auch mit suchen und googlen bisher keine Lösung gefunden habe. Ich habe eine OU die delegierte Rechte für OU Admins hat. Jetzt sollen zwei weitere Rechte dazu kommen die sich aber auf die OU nicht setzen lassen, es geht um die Rechte für "Write altReceipient" und "Write Public Information". Diese Rechte lassen sich nur auf einen User als solches selber setzen. Wie kann man nun sicherstellen bzw. berwerkstelligen das alle vorhandenen User, neue User die in diese OU verschoben und oder erzeugt werden diese Delegation automatisch erhalten?

[Christoph35 10]

Irgendwie verstehe ich dein Problem nicht. Du kannst doch über den Delegierungs-Assistenten einen benutzerdefinierten Task delegieren, User-Objekte auswählen und dann die Rechte "Write altRecipient" und "Write Public Information" vergeben?!

 

Dieses Recht wird dann automatisch für jedes User-Objekt, dass in der OU erstellt wird/vorhanden ist, vergeben.

 

Geh das doch einfach mal mit dem Wizard durch und checke anschließend die Berechtigung auf der OU und dann die Berechtigunge auf einem User-Objekt (erweiterte Ansicht aktivieren).

 

Christoph

[Daim 12]

Servus,

 

viel wichtiger wäre es zum einen, anstatt einem Benutzer die Rechte zu delegieren die Rechte an eine Gruppe zu vergeben und zum anderen, ist es wichtig das die Vererbungsoptionen korrekt gesetzt sind. Daher wäre es immer vorteilhaft, den Delegierungsassistenten zu verwenden.

 

Siehe auch:

Yusuf`s Directory - Blog - Objektdelegierungen einrichten

[Christoph35 10]

Servus,

 

viel wichtiger wäre es zum einen, anstatt einem Benutzer die Rechte zu delegieren die Rechte an eine Gruppe zu vergeben und zum anderen, ist es wichtig das die Vererbungsoptionen korrekt gesetzt sind. Daher wäre es immer vorteilhaft, den Delegierungsassistenten zu verwenden.

 

So meinte ich das und so handhabe ich das auch. War vielleicht etwas missverständlich ausgedrückt. :o

 

Christoph

[Hirgelzwift 10]

natürlich ist eine Gruppe gemeint, also die die die Admin Rechte bekommen soll. Wirken soll es lediglich auf die Benutzer. Der Hinweis der Christoph35 gegeben hat war schon richtig. Ich hatte es zwischenzeitlich selbst herausgefunden das man einfach auf der OU die Benutzer Objekte einstellt und ab dafür. Trotzdem danke für eure Hilfe :)

[Daim 12]

natürlich ist eine Gruppe gemeint, also die die die Admin Rechte bekommen soll.

 

Du drückst dich - für mich - etwas "verquer" aus. Ich möchte jetzt nicht klugsch... sondern nur die richtige Formulierung wiedergeben.

Die Benutzer die in der Gruppe Mitglied sind erhalten keine "Admin Rechte" sondern Rechte im AD eingeräumt, damit sie EINE bestimmte Tätigkeit ausführen können. Denn "Admin Rechte" können mehr. ;)

 

 

Wirken soll es lediglich auf die Benutzer.

 

Na klar wirkt die Delegierung nur auf die Benutzer, die Mitglieder der Gruppe sind.

[Hirgelzwift 10]

ganz einfach: eine admin gruppe erhält rechte auf die benutzer in einer OU. eigentlich das ganz klasische thema. ich fiel anfänglich lediglich über den unstand das ich oben auf die user objekte, was eigentlich logisch ist, umstellen muß um die user einstellungen vornehmen zu können. egal, es funzt, alles wunderbar, danke :D

[NorbertFe 1.798]

wichtig das die Vererbungsoptionen korrekt gesetzt sind. Daher wäre es immer vorteilhaft, den Delegierungsassistenten zu verwenden.

 

Nenene. Wenn ich in der Tiefe stecke, dass ich delegieren will, dann sollte ich das Prinzip verstanden haben, und den Delegation Wizard nur dann brauchen wenn der Task damit schneller erledigt wird. Das wird er aber nur, wenn er auch die Tasks schon beinhaltet ;)

How to customize the task list in the Delegation Wizard

 

Jedesmal die einzelnen Attribute im Wizard zusammenklicken geht auch nicht schneller als wenn ich direkt reinschaue. ;) Zu Dokumentationszwecken ist sowieso die Verwendung von dsacls zu empfehlen, da ich das was ich falsch gemacht habe, damit ganz schnell wieder rückgängig machen kann. :)

 

 

Bye

Norbert

[Daim 12]

Nenene. Wenn ich in der Tiefe stecke, dass ich delegieren will, dann sollte ich das Prinzip verstanden haben

 

Du schreibst es selbst mein Bub... "Wenn...", dann ja. ;)

 

Das wird er aber nur, wenn er auch die Tasks schon beinhaltet ;)

How to customize the task list in the Delegation Wizard

 

Sag mal kannst du hellsehen oder was?

Genau darüber schreibe ich etwas in meinem nächsten Artikel. ;)

 

 

Jedesmal die einzelnen Attribute im Wizard zusammenklicken geht auch nicht schneller als wenn ich direkt reinschaue. ;)

 

Norbi, du darfst nicht immer von dir ausgehen. :) Du weißt selbst das es viel mehr "Anfänger" oder Semi-Professionals im AD-Bereich gibt als Profis. Für viele wird der Assistent einfacher sein, als die Berechtigungen direkt am Objekt zu vergeben, was zwar nichts anderes ist als der Assistent, aber der Assistent nimmt doch einen an der Hand. ;)

 

 

 

Zu Dokumentationszwecken ist sowieso die Verwendung von dsacls zu empfehlen, da ich das was ich falsch gemacht habe, damit ganz schnell wieder rückgängig machen kann. :)

 

Jawoll Herr Leutnant, vollkommen richtig. :)

 

Abtreten... wegtreten... irgendwohintreten... ach was weiß ich... verschwinden halt. :)

[NorbertFe 1.798]

Du schreibst es selbst mein Bub... "Wenn...", dann ja. ;)

[/Quote]

 

Wenn nicht, dann nix delegation, da keine Notwendigkeit. :) Ist doch einfach, oder?

 

Sag mal kannst du hellsehen oder was?

Genau darüber schreibe ich etwas in meinem nächsten Artikel. ;)

 

Na klar kann ich hellsehen. Kannst du das nicht?

 

Norbi, du darfst nicht immer von dir ausgehen. :) Du weißt selbst das es viel mehr "Anfänger" oder Semi-Professionals im AD-Bereich gibt als Profis. Für viele wird der Assistent einfacher sein, als die Berechtigungen direkt am Objekt zu vergeben, was zwar nichts anderes ist als der Assistent, aber der Assistent nimmt doch einen an der Hand. ;)

 

Hmm ok hast ja Recht.

 

Bye

Norbert

[Hirgelzwift 10]

naja, im AD, behaupte ich mal, steck ich schon drin, aber ich hatte hat mit delegieren noch nicht viel zu tun, weil es bisher nicht erforderlich war. wie auch immer, mit dem wizard mach ich das sicher nicht. da geh ich direkt über den sicherheitsreiter auf der OU und mach dort meine einstellungen. gegen so geballte expert member power schau ich da in dem bereich halt "schwach" aus :D

[Christoph35 10]

Warum nutzt Du nicht den Assistenten dafür? Kannst Du von Dir behaupten, jedes einzelne Recht zu kennen, dass der z.B. für "Join Computers to the Domain" vergibt?

 

Klar ist es von Vorteil, wenn man weiss, welche Rechte dabei im einzelnen auf welcher Ebene und für welchen Bereich vergeben werden.

 

Bleibt aber ggf. trotzdem immer noch die Zeitersparnis, die man mit dem Assistenten hat, im Vergleich zur Vergabe einzelner Rechte.

 

Christoph

[Daim 12]

Sehe ich genauso, die meisten sollten den Assistenten nutzen mit max. der benutzerdefinierten Variante.

[Hirgelzwift 10]

weil ich die schalter die ich benötige im wizard gar nicht einzustellen sind, oder übersehe ich da schon wieder was? :D

[NorbertFe 1.798]

weil ich die schalter die ich benötige im wizard gar nicht einzustellen sind, oder übersehe ich da schon wieder was? :D

 

Das kann schon sein. ;)

 

Bye

Norbert