Hanghuhn 10 Geschrieben 10. August 2009 Melden Teilen Geschrieben 10. August 2009 Hallo, um im Active Directory die Berechtigung der OU Admins einzuschränken, gibt’s ja jeder Menge Objects um dies umzusetzen. Kennt jemand eine Doku wo jedes Object und dessen Aufgabe erläutert ist ? Gruß Hanghuhn Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. August 2009 Melden Teilen Geschrieben 10. August 2009 Salve, erläutere mal genauer was dein Ziel genau ist. Du kannst Benutzern über die Objektdelegierung im AD gezielt nur die Rechte erteilen, die sie durchführen sollen. Du kannst dich auch mal durch diese Seiten "durchschlagen": LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung https://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&displaylang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739-cb1fb22a0642&DisplayLang=en Zitieren Link zu diesem Kommentar
Hanghuhn 10 Geschrieben 10. August 2009 Autor Melden Teilen Geschrieben 10. August 2009 Salve, erläutere mal genauer was dein Ziel genau ist. Du kannst Benutzern über die Objektdelegierung im AD gezielt nur die Rechte erteilen, die sie durchführen sollen. Problem ist: Wenn ich über die Advanced Security Settings der OU Settings hinzufügen möchte kenn ich nicht von allen deren Aufgaben. Deshalb wäre ein Liste von allen Objects hilfreich. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. August 2009 Melden Teilen Geschrieben 10. August 2009 Moment. Im ersten Schritt definiert man zuerst auf Papier welche Aufgaben die Mitarbeiter durchführen sollen. Wenn dann alles zu Papier gebracht wurde, delegiert man die entsprechenden Rechte (sofern technisch möglich) an die Mitarbeiter. Schau dir die Links in meiner vorherigen Antwort durch. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 10. August 2009 Melden Teilen Geschrieben 10. August 2009 Hi, da kann ich Yusuf nur zustimmen. Die technische Seite ist erstmal uninteressant. Definiere, was deine "Admins" können sollen und schreibe das fest. Danach kannst du dir um die technische Umsetzung und Machbarkeit Gedanken machen. Es gibt im Technet einen sehr schönen Artikel zu dem Thema, der ebenfalls mit der Rollendefinition beginnt. Windows Administration: Delegating Authority in Active Directory Ansonsten gibt es hier auch noch ein paar praktisch orientierte Artikel: Objektverwaltung zuweisen - Delegation von Aufgaben Active Directory Aufgaben Delegation Berechtigungen auf die Ereignisprotokolle von Windows Server 2003 vergeben Bye Norbert Zitieren Link zu diesem Kommentar
Hanghuhn 10 Geschrieben 11. August 2009 Autor Melden Teilen Geschrieben 11. August 2009 Servuz, vielen Dank für die Links. Generell sollten die Admins der Standort OUs keine Einschränkungen erhalten, das heiß sie sollen User,Computerkonten erstellen und administrieren. In einer Test OU habe ich die Berechtigung mit vollzugriff umgesetzt, wo das gewünschte auch funktioniert. Nun sollten die Admins auch Policy erstellen dürfen. Ich habe gelesen, dass zur Policy Erstellung die Berechtigung "gpLink / gpOptions" read / write gesetzt sein müssen. Leider funktioniert dies nicht wunschgemäß. Die Admins können zwar vorhandene GPOs linken aber keine neu erstellen. Welche Berechtigung muss ich zusätzlich noch aktivieren um Policies erstellen zu dürfen ? Vielen Dank im Voraus Gruß Hanghuhn Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 11. August 2009 Melden Teilen Geschrieben 11. August 2009 auch Policy erstellen dürfen. Ich habe gelesen, dass zur Policy Erstellung die Berechtigung "gpLink / gpOptions" read / write gesetzt sein müssen. Leider funktioniert dies nicht wunschgemäß. Die Admins können zwar vorhandene GPOs linken aber keine neu erstellen. Welche Berechtigung muss ich zusätzlich noch aktivieren um Policies erstellen zu dürfen ? Wird wohl daran liegen, dass man auch (Schreib-)Berechtigungen im Sysvol-Verzeichnis benötigt. Bye Norbert Zitieren Link zu diesem Kommentar
Hanghuhn 10 Geschrieben 11. August 2009 Autor Melden Teilen Geschrieben 11. August 2009 Wird wohl daran liegen, dass man auch (Schreib-)Berechtigungen im Sysvol-Verzeichnis benötigt. Bye Norbert Hallo Norbert, Danke für die Info. Ich habe mir die Berechtigung angeschaut, es könnte daran liegen. Wenn ich die Berechtigung des Systemordners SYSVOL ändere, werden diese Änderungen auch an alle anderen DC repliziert, oder muss dies von Hand berechtigt werden ? VG Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 11. August 2009 Melden Teilen Geschrieben 11. August 2009 Hallo Hanghuhn Man könnte auch die Admins zu Mitgliedern in der Gruppe "Group Policy Creator Owners" machen: The ability to create GPOs in a domain is a permission that is managed on a per-domain basis. By default, only Domain Administrators, Enterprise Administrators, Group Policy Creator Owners, and SYSTEM can create new Group Policy objects. If the domain administrator wants a non-administrator or non-administrative group to be able to create GPOs, that user or group can be added to the Group Policy Creator Owners security group. Alternatively, you can use the Delegation tab on the Group Policy Objects container in GPMC to delegate creation of GPOs. When a non-administrator who is a member of the Group Policy Creator Owners group creates a GPO, that user becomes the creator owner of the GPO and can edit the GPO and modify permissions on the GPO. However, members of the Group Policy Creator Owners group cannot link GPOs to containers unless they have been separately delegated the right to do so on a particular site, domain, or OU. Being a member of the Group Policy Creator Owners group gives the non-administrator full control of only those GPOs that the user creates. Group Policy Creator Owner members do not have permissions for GPOs that they do not create. Link: Delegating Administration of Group Policy: Group Policy Gruess fluehmann Zitieren Link zu diesem Kommentar
Hanghuhn 10 Geschrieben 12. August 2009 Autor Melden Teilen Geschrieben 12. August 2009 Hallo Fluehmann, Dein Tipp hat mich schon weiter gebracht. Einziges Problem ist, wenn eine Gruppe „grp.CreatePolicy“ mit den Members ( UserA, UserB, UserC ) zur Gruppe "Group Policy Creator Owners" hinzugefügt wird, muss der Ersteller einer neuen Policy z.B. UserA die Gruppe auf die neue Policy delegieren, sonst ist nur der Ersteller Besitzer und hat Änderungsrechte darauf. Wie oben schon beschrieben sollen die OU Admins keine Einschränkungen erhalten, dies habe ich so umgesetzt. Nun ist mir aufgefallen, dass die OU Admins auch User / Gruppen aus anderen Standort OU zu Gruppen hinzufügen dürfen. Wie kann ich dies unterbinden, dass die OU Admins nur User+Gruppen die in der eigenen Standort OU liegen hinzufügen dürfen ? VG Hanghuhn Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 12. August 2009 Melden Teilen Geschrieben 12. August 2009 Nun ist mir aufgefallen, dass die OU Admins auch User / Gruppen aus anderen Standort OU zu Gruppen hinzufügen dürfen. Wie kann ich dies unterbinden, dass die OU Admins nur User+Gruppen die in der eigenen Standort OU liegen hinzufügen dürfen ? Das kannst du nicht verhindern. Da das eine Eigenschaft der Gruppe ist. Du müßtest also im Endeffekt verhindern, dass der OU-Admin die anderen User überhaupt sieht. Und ob das technisch sinnvoll zu realisieren ist, wird sich zeigen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Hanghuhn 10 Geschrieben 14. August 2009 Autor Melden Teilen Geschrieben 14. August 2009 Hallo Norbert, ok, das Ausblenden der anderen OU´s sollte somit gründlich durchdacht werden, weiteres vorgehen werde ich mir noch überlegen. Danke trotzdem. noch eine Sache: Ist es möglich evtl. per Policy eine OU so zu berechtigen, dass wenn ein neues Objekt vom OU Admin angelegt wird, der Owner automatisch ändert wird z.B. in Domain Admins ? VG Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 14. August 2009 Melden Teilen Geschrieben 14. August 2009 Nein, kannst du höchstens als Task regelmässig per Skript ändern. Bye Norbert Zitieren Link zu diesem Kommentar
Hanghuhn 10 Geschrieben 18. August 2009 Autor Melden Teilen Geschrieben 18. August 2009 Hallo Norbert, kann man mit einem Script auch alle Elemente die in einer OU liegen bearbeiten ( den Owner wechslen ) oder muss jedes Element einzeln im Script angesproechen werden ? Ich habe mich dazu mal belesen und habe festgestellt, dass so was mit dsacls.exe möglich ist. Leider bekomme ich immer folgenden Fehler wenn ich das Script ausführe: Parameter /takeownership was unexpected. The parameter is incorrect. The command failed to complete successfully. Script: dsacls "OU_Test_OU,DC=domain,DC=local" /takeownership Ist das der richtige Ansatz bzw. wie lautet der korrekte Aufruf ? Wer kann helfen... VG Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 18. August 2009 Melden Teilen Geschrieben 18. August 2009 Ich habe mich dazu mal belesen und habe festgestellt, dass so was mit dsacls.exe möglich ist. Leider bekomme ich immer folgenden Fehler wenn ich das Script ausführe: Parameter /takeownership was unexpected. The parameter is incorrect. The command failed to complete successfully. Script: dsacls "OU_Test_OU,DC=domain,DC=local" /takeownership Ist das der richtige Ansatz bzw. wie lautet der korrekte Aufruf ? Ich weiß ja nicht was du gelesen hast, aber /takeownership wäre mir neu bei dsacls. ;) How to Use Dsacls.exe in Windows Server 2003 and Windows 2000 Du suchst wahrscheinlich sowas wie /I:T /WO Die genaue Syntax mußt du dir selbst zusammensuchen, hab grad keine Lust das zu testen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.