Neopolis 19 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 Hallo zusammen, wir sollen zwei Personen auf eine neu erstellte OU so berechtigen, dass die zwei dort drinnen Gruppen erstellen können sollen aber keine Benutzer. Sie sollen aber Benutzer den von ihnen erstellen Gruppen hinzufügen können. Geht das? Gruß Thomas
cj_berlin 1.508 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 Klar, wenn sie eine neue Gruppe erstellen, sind sie ja erst Mal Owner
Neopolis 19 Geschrieben 17. Januar 2023 Autor Melden Geschrieben 17. Januar 2023 Das ist richtig aber sie haben ja in der Konsole die Möglichkeiten auch Benutzer anlegen zu können und das soll nicht sein. Es soll nur das Symbol zum Anlegen von Gruppen klickbar sein und das für die Benutzer ausgegraut.
Sunny61 833 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 vor 2 Minuten schrieb Neopolis: aber sie haben ja in der Konsole die Möglichkeiten auch Benutzer anlegen zu können und das soll nicht sein. Konnten sie denn einen neuen User anlegen oder war nur der Button klickbar?
NilsK 3.045 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 (bearbeitet) Moin, wenn die Berechtigungen richtig gesetzt sind, können die Kolleginnen nur Gruppen anlegen und diese dann verwalten. Andere Objekte können sie nicht anlegen. Was die Konsole daraus macht, kann man nicht beeinflussen. Möglicherweise zeigt sie die Buttons an, meldet dann aber einen Fehler. Das müsste der Entwickler der Konsole steuern. An den Berechtigungen kommt man damit aber nicht vorbei. Ach, und wenn wir dabei sind: Sowas richtet man per Skript ein, z.B. mit dsacls. Dann bildet das Skript auch gleich die Dokumentation. Und man braucht eine gute Testumgebung. Erst wenn es da fertig ist, wendet man das Skript auf die Produktion an. Gruß, Nils bearbeitet 17. Januar 2023 von NilsK 1
testperson 1.857 Geschrieben 17. Januar 2023 Melden Geschrieben 17. Januar 2023 Hi, wenn ich dich richtig verstehe: Ja, du kannst das Erstellen / Bearbeiten von Gruppen delegieren: Delegate AD group management - Active Directory FAQ. Mache es aber nicht in der GUI sondern per Powershell (Set-ACL) oder per Kommandozeile (dsacls). Wenn die User nur bestimmte Funktionen sehen sollen, benötigst du ein eigenes Frontend, was nur das Gewünschte anzeigt. Evtl. wäre ein PowerShell Script ein Ansatz ggfs. in Verbindung mit JEA (Übersicht zu Just Enough Administration (JEA) - PowerShell | Microsoft Learn). Gruß Jan
Neopolis 19 Geschrieben 17. Januar 2023 Autor Melden Geschrieben 17. Januar 2023 Danke Leute!!! Prima die Antworten. Ich habe es umgesetzt bekommen. Vielen Dank!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden