Jump to content

Recht delegieren "Benutzer kann Kennwort nicht ändern"

Mag

Von Mag
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mag Rising Star

Mag   11

Geschrieben
Geschrieben (bearbeitet)

Hallo zusammen,

 

ich habe ein Problem das Recht zu delegieren, dass man einem AD User einstellen kann, dass er sein Passwort nicht ändern darf.

 

Zur Situation:

Ich möchte die Rechte bei uns im AD schon sehr lange granularer verteilen, da mir die Standard-Vorlagen (delegwiz.inf) nicht gefallen. Z.B. war mir anfangs nicht bewusst, dass mit "Erstellt, entfernt und verwaltet Benutzerkonten" Vollzugriff auf Benutzer gewährt wird und somit auch das Exchange Recht "Senden als" übertragen wird.

 

Soviel zum Hintergrund. Nun baue ich nach langer Unterbrechung wieder an einer besseren Vorlage und ich habe ein Problem mit dem Punkt "Benutzer kann Kennwort nicht ändern" im Reiter Konto beim AD User (bzw. inetOrgPerson, sollte aber mal keinen Unterschied machen).

 

Wenn ich es richtig verstanden habe, handelt es sich dabei eigentlich garnicht um ein Recht, sondern ein Verbot auf "Change Password" und ich befürchte es geht garnicht, hoffe aber das jemand eine Lösung hat.

 

Es gibt dazu natürlich einen guten Blog Beitrag ;) mit einem Link zu MS und 70 Templates, in denen meine Frage sogar enthalten ist, aber .... leider auskommentiert und nicht funktional.

 

Kennt jemand das Problem und hat eine Lösung? Ich konnte bisher nichts finden :/

 

Danke und Grüße

Mag

 

UPDATE:

Ich könnte dieses Template natürlich auch gleich hier posten:

;---------------------------------------------------------
;[template60]
;AppliesToClasses=domainDNS,organizationalUnit,container

;Description = "Set User cannot change password for a user account"

;ObjectTypes = user

;[template60.user]

;CONTROLRIGHT= "Change Password"
;----------------------------------------------------------
 

bearbeitet von Mag
Link zu diesem Kommentar
samsam Experienced

samsam   14

Geschrieben
Geschrieben

Moin,

 

das hat nicht mit delegation zutun. Du willst rechte von user nehmen und nicht geben.

Du kannst PowerShell benutzen:

 

Set-UserCannotChangePass by Erik McCarty

 

http://poshcode.org/682

oder mit AD-PowerShell

 

AD-PowerShell Befehle

http://blog.dikmenoglu.de/ADPowerShell+Befehle.aspx

 

Set-ADAccountControl Yusuf -CannotChangePassword $true

 

MFG

Link zu diesem Kommentar
Mag Rising Star

Mag   11

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo samsam,

 

danke für die Antwort, aber das passt nicht zu meiner Problemstellung. Ich möchte eben doch einige Rechte delegieren.

Beim Besuch der oben genannten Webseiten wird es evtl. klarer.

 

Stelle dir vor, ich bin in deiner AD ein "kleiner Admin" und du möchtest mir keine Domänen Administrator Rechte geben, sondern nur so viele, dass ich nichts kaputt machen kann. Dazu erlaubst du mir dann Benutzer anzulegen und zu löschen. Zusätzlich darf ich noch die Passwörter meiner Benutzer, für die ich zuständig bin, ändern.

 

Und nun willst du auch, dass ich bei allen Benutzern in meinem Bereich in Active Directory Benutzer und Computer auf dem Reiter Konto den Haken "Benutzer kann Kennwort nicht ändern" setzen darf! Es geht nicht darum, ob ich den Haken über die GUI oder über die Powershell aktiviere oder deaktiviere, sondern über das hierzu notwendige Recht diese Einstellung zu ändern.

 

Grüße

Mag

bearbeitet von Mag
Link zu diesem Kommentar
samsam Experienced

samsam   14

Geschrieben
Geschrieben

Moin,

 

die speichert in userAccountControl bitmask attribute und es ist multi-value bit attribute.

ADS_UF_PASSWD_CANT_CHANGE = 0x40

Lies diese link:

User-Account-Control attribute

 

http://msdn.microsoft.com/en-us/library/windows/desktop/ms680832%28v=vs.85%29.aspx

Und wenn du userAccountControl delagation zum eine user gibts, dann er oder sie kann alle andere Account options ändern.

Permission name ist Read userAccountControl und Write userAccountControl.

 

Sorry wegen meine schlechte detsch sprache.

Ich hoffe dass du verstanden und jemand wie NilsK oder Yusuf gibt mehr informationen.

 

MFG

Link zu diesem Kommentar
Mag Rising Star

Mag   11

Geschrieben
  • Autor
Geschrieben

Hallo samsam,

 

vielen Dank, ich habe es verstanden ;)

In die Richtung UserAccountControl habe ich auch schon geforscht und gehofft, dass es das nicht ist. Dieses Recht habe ich nämlich auch schon delegiert und mich gefragt, warum da so viele verschiedene Rechte dran hängen. Dazu hat Yusuf auch einen kleinen Blogbeitrag gepostet.

 

Auf der MS Seite steht eine Warnung an genau dem Punkt "ADS_UF_PASSWD_CANT_CHANGE = 0x40" und ich muss mir noch einen Überblick über alle Konsequenzen davon machen, wenn ich diese Option ändere.

 

Danke und Grüße

Mag

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...