AD Berechtigung - Object Erläuterung

[Hanghuhn 10]

Ich weiß ja nicht was du gelesen hast, aber /takeownership wäre mir neu bei dsacls. ;)

 

 

das habe ich hier gelesen: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership

 

Nun habe ich auch den richtigen Aufruf:

 

dsacls "OU_Test_OU,DC=domain,DC=local" /G domain\testuser:WO

 

Leider erfüllt dieser nicht mein vorhaben, denn in diesem Fall bekommt der User "testuser" nur das Recht "Modify Owner" aber der Owner des Objects wird hierbei nicht geändert.

 

Wer kennt noch andere Möglichkeiten den Owner eines Objects im AD mit eimen Script zu ändern ?

 

VG

[NorbertFe 2.279]

das habe ich hier gelesen: dsacls "CN=Deleted Objects,DC=Contoso,DC=com" /takeownership

 

Hast du denn W2k8 bzw. AD LDS im Einsatz?

 

Bye

Norbert

[NilsK 3.046]

Moin,

 

dsacls unter Windows 7 kennt den Parameter, den du suchst. Mach es also von 7 aus.

 

Gruß, Nils

[Daim 12]

Salut,

 

Mach es also von 7 aus.

 

... und dazu müssen vorher die RSAT für Win7 installiert werden, damit das dsacls zur Verfügung steht.

 

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d

[fluehmann 10]

Sorry für die Einmischung...

 

Dein Tipp hat mich schon weiter gebracht. Einziges Problem ist, wenn eine Gruppe „grp.CreatePolicy“ mit den Members ( UserA, UserB, UserC ) zur Gruppe "Group Policy Creator Owners" hinzugefügt wird, muss der Ersteller einer neuen Policy z.B. UserA die Gruppe auf die neue Policy delegieren, sonst ist nur der Ersteller Besitzer und hat Änderungsrechte darauf.

 

Diese Problem haben wir auch, ist unschön wenn der Admin wechselt....

 

Hat jemand Erfahrung mit dem AGPM 3.0 (Advanced Group Policy Manager ). Dort gibt es vordefinierte Rollen zum delegieren für GPOs.

Eine Übersicht hier:

Comprehensive Change Control and Enhanced Management for Group Policy Objects

 

Gruss

fluehmann