umeyer 10 Geschrieben 7. Februar 2006 Melden Geschrieben 7. Februar 2006 Hallo, ich würde gerne folgendes realisieren: Ein Domänbediener hat über die Objectverwaltung Zugriff auf eine bestimmte OU bekommen. Für diesen Bediener wurde eine spezielle MMC erstellt, die lediglich diese OU anzeigt... Jetzt hätte ich gerne, daß dieser User in der OU (auf die er Vollzugriff hat) auch Gruppenrichtlinien erstellen und bearbeiten kann. Dazu hab ich ihn in die Gruppe der Richtlinien-Ersteller-Besitzer gesteckt! Das scheint aber nicht auszureichen, denn wenn die Richtlinien der OU angeklickt werden, sind alle Buttons, bis auf Eigenschaften grau. Kann mir jemand sagen, was ich tun muß, damit der User auch GPO`s verwalten darf??? Danke schon mal für eure Hilfe...
autowolf 14 Geschrieben 7. Februar 2006 Melden Geschrieben 7. Februar 2006 wie greift er denn auf dei GPO zu ? über das desktop am Server ? Per RDP ? VNC ? Ich hatte auch schon so mal was ähnliches... Habe einfach den User Domain-Adminrechte gegeben und ihn aber auf dem Desktop des Server so kastriert das er nur sich abmelden kann und seine Programme / GPOs laufen.
umeyer 10 Geschrieben 7. Februar 2006 Autor Melden Geschrieben 7. Februar 2006 Also aufs AD greift er von seinem XP-Platz zu. Dort ist vom Adminpak nur die AD-Komponente installaiert. Und damit er nicht das ganze AD, sondern nur seine OU auf die er Zugriff hat sieht hab ich ihm ein eigenes msc gebastelt. Die ruft er dann also von seinem Platz auf und sieht auch nur seine OU... Mit der rechten Maustaste-Eigenschaften-Gruppenrichtlinien sieht er dann die Gruppenrichtlinien der OU, kann sie aber nicht verändern oder neue hinzufügen.... Und genau das soll er können. Ihn zum Domain-Admin zu machen kommt nicht in Frage... Wär mir etwas zu unsicher ihn einfach nur optisch zu beschneiden... Als Domain-Admin hat er das im NullKommaNix wieder umgestellt....
IThome 10 Geschrieben 7. Februar 2006 Melden Geschrieben 7. Februar 2006 Setze mal zusätzlich die erweiterten Berechtigungen "gPLink lesen" und "gPLink schreiben" der entsprechenden OU
grizzly999 11 Geschrieben 7. Februar 2006 Melden Geschrieben 7. Februar 2006 Wenn er der Gruppe Richtlinien Ersteller Besitzer angehört, kann er zwar nuee Richtlinien erstellen und bearbeiten, vorhandene sind davon nicht betroffen (klar). Da musst du ihm explizit für diese Richtlinien die Berechtigungen geben. Richtlinien erstellen sollte er aber können, aber braucht auch die Berechtigung gPOLink zu erstellen und zu verwalten (oder so ähnlich) auf der OU, hat er diese Berechtigung auch? grizzly999
umeyer 10 Geschrieben 7. Februar 2006 Autor Melden Geschrieben 7. Februar 2006 Nein hatte er nicht.... Erweiterte Berechtigungen war das Zauberwort :-)) Bei mir hatte der User nur Vollzugriff... Aber mit gplink lesen und schreiben klappts jetzt... Prima! Und tausend Dank :-))
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden