dwnord 10 Geschrieben 21. Juli 2009 Melden Teilen Geschrieben 21. Juli 2009 Hallo, wie kann man mS-DS-CreatorSID Einträge in einem W2k3 AD für eine bestimmte SID löschen? Ein User hat bereits 10 Rechner zur Domäne hinzugefügt und soll für eine besondere Aufgabe 2-3 weitere Rechner hinzufügen können. Entsprechend der betrieblichen Vorgaben sollen weder die Computerkonten, die er bereits angelegt hat, gelöscht werden, noch soll das Recht generell an Ihn delegiert werden. Er soll auch keine weitere ID erhalten und der Wert von max. 10 Computerkonten soll auch nicht verändert werden. Gruß dwnord Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 21. Juli 2009 Melden Teilen Geschrieben 21. Juli 2009 Servus, wie kann man mS-DS-CreatorSID Einträge in einem W2k3 AD für eine bestimmte SID löschen? so garnicht. Ich zitiere aus dem folgenden Artikel: Wird ein Client der vom Benutzer zur Domäne hinzugefügt wurde aus der Domäne entfernt, deaktiviert sich lediglich das Computerkonto im AD.Das Computerkonto bleibt jedoch weiterhin im AD bestehen. Erst wenn das Computerkonto aus dem AD gelöscht wird, kann der Benutzer einen weiteren Client zur Domäne hinzufügen. LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen Ein User hat bereits 10 Rechner zur Domäne hinzugefügt und soll für eine besondere Aufgabe 2-3 weitere Rechner hinzufügen können. Dann lies dir den o.g. Artikel durch und --> delegiere <-- dem Benutzer das Recht, Clients zur Domäne hinzuzufügen. Er soll auch keine weitere ID erhalten und der Wert von max. 10 Computerkonten soll auch nicht verändert werden. Das funktioniert so nicht. Entweder du veränderst den Wert "10" für alle oder du delegierst ihm das Recht dann so lange, bis er sein soll erfüllt hat und entfernst ihm das Recht wieder. Existieren Clients die der Benutzer damals zur Domäne hinzugefügt hat nicht mehr in der Domäne aber das Computerkonto im AD schon, kann der Benutzer nach dem Entfernen des Computerkontos einen weiteren Client zur Domäne hinzufügen. Zitieren Link zu diesem Kommentar
dwnord 10 Geschrieben 22. Juli 2009 Autor Melden Teilen Geschrieben 22. Juli 2009 Gruß nach Mainz und danke für Deine schnelle Antwort. Die Techniken bzgl. Delegierung etc. sind mir hinlänglich bekannt - hier gibt es wie beschrieben die Anforderung eben die Einträge im Feld mS-DS-CreatorSID zu löschen. Es gibt im Bereich der Sicherheit beim Computerobjekt zwar auch den Haken für mS-DS_CreatorSID schreiben - ich bin aber auch der Meinung, dass man den Wert nicht nachträglich ändern kann. Deine Antwort bestätigt das ja entsprechend. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. Juli 2009 Melden Teilen Geschrieben 22. Juli 2009 Die Techniken bzgl. Delegierung etc. sind mir hinlänglich bekannt OK, dass würde ich auch nie anzweifeln. ;) hier gibt es wie beschrieben die Anforderung eben die Einträge im Feld mS-DS-CreatorSID zu löschen. Das Attribut mS-DS-CreatorSID ist ein "system only" Attribut. Du hast die Möglichkeiten die ich in meiner vorherigen Antwort geschrieben habe. Deine Antwort bestätigt das ja entsprechend. Wie gesagt, es ist "system only" und ein händisches bearbeiten ist nicht möglich. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.