Jump to content

Minimal benötigte Rechte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin gerade damit beschäftigt ein Programm zu schreiben, dass u.a. neue Gruppen im AD anlegen und diesen Gruppen Benutzer zuordnen soll. Jetzt stellt sich mir aber die Frage was für Berechtigungen muss das ausführende Konto mind. besitzen um diese Aufgaben durchführen zu können? Leider habe ich da bisher nichts zu finden können. Kann mir jemand dabei weiter helfen?

 

Mit freundlichen Grüßen

Benson

Link zu diesem Kommentar

Servus,

 

du kannst die Delegierung mit dem Kommandozeilentool DSACLS skripten. Das hat auch den Vorteil, dass die delegierten Rechte sich zum einen "einfach" dokumentieren und zum anderen, leicht wieder entfernen lässt.

 

Mit dem folgenden Befehl (ungetestet) solltest du das Recht zum erstellen von Gruppen in der angegebenen OU delegieren können:

 

Dsacls "OU=<OU>,DC=Domäne,DC=TLD" /I:S /G <Domäne>\<Gruppe>:CC;group;

 

 

Für die zweite Anforderung ist es notwendig, das Schreibrecht für das member Attribut in den Gruppenobjekten zu delegieren. Der Befehl (ebenfalls ungetestet) könnte so aussehen:

 

Dsacls "OU=OU,DC=Domäne,DC=TLD" /I:S /G <Domäne>\<Gruppe>:WP;member;group

 

Danach kann die <Gruppe> in den einzelnen Gruppen die unterhalb der angegebenen OU existieren, Benutzer hinzufügen.

 

 

LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten

Link zu diesem Kommentar

Entschuldigung das ich erst jetzt antworte, aber ich habe im Moment viel zu viele Projekte. Das mit dem AD hat jetzt dank der hilfreichen Tipps soweit geklappt. Vielen Dank dafür.

 

Wenn mir jetzt noch jemand sagen könnte was für Berechtigungen ich auf einem XP oder Vista System min. benötige um lokale Gruppen anzulegen und ihnen Benutzer zuzuordnen wäre ich glücklich :). Ich muss dem Konto doch keine Admin Rechte zuteilen,... oder?

 

mit freundlichen Grüßen

Benson

Link zu diesem Kommentar
Wenn mir jetzt noch jemand sagen könnte was für Berechtigungen ich auf einem XP oder Vista System min. benötige um lokale Gruppen anzulegen und ihnen Benutzer zuzuordnen wäre ich glücklich :). Ich muss dem Konto doch keine Admin Rechte zuteilen,... oder?

 

Nein, nach dieser Beschreibung reichen Hauptbenutzerrechte: Wer darf was? Das will man aber eigentlich auch nicht: Wie werde ich lokaler Administrator? Wie mache ich mich als Benutzer zum Administrator? faq-o-matic.net Wie Hauptbenutzer zu Admins werden

 

Du kannst lokale Gruppen natürlich auch mit den Group Policy Preferences via GPO im AD anlegen. Benutzer aus dem AD auswählen und zuweisen, funktioniert gut.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...