2
Administrators von Protected Groups entfernen
Hallo erst mal!
Ich bin gerade dabei Berechtigungen in Active Directory zu setzten, nun habe ich das Problem das bei gewissen Usern die Security Einstellungen zurückgesetzt werden. Ich bin auf das Thema "Protected Groups" gestoßen, was besagt dass für Mitglieder bestimmter Build In Gruppen Berechtigungen automatisch zurückgesetzt werden. Siehte zB folgende Links:
http://support.microsoft.com/?kbid=817433
http://support.nordicedge.se/nsd1313-exclude-protected-groups-from-admi ...
Die Artikel beschreiben immer nur den Vorgang wie man folgende Gruppen von den "Protected Groups" entfernt:
- Account Operators
- Server Operators
- Print Operators
- Backup Operators
ich bräuchte das aber für die "Administrators" Gruppe, hat jemand eine Ahnung ob das überhaut möglich ist, bzw. wenn ja, was ich machen muss?
Ich bin gerade dabei Berechtigungen in Active Directory zu setzten, nun habe ich das Problem das bei gewissen Usern die Security Einstellungen zurückgesetzt werden. Ich bin auf das Thema "Protected Groups" gestoßen, was besagt dass für Mitglieder bestimmter Build In Gruppen Berechtigungen automatisch zurückgesetzt werden. Siehte zB folgende Links:
http://support.microsoft.com/?kbid=817433
http://support.nordicedge.se/nsd1313-exclude-protected-groups-from-admi ...
Die Artikel beschreiben immer nur den Vorgang wie man folgende Gruppen von den "Protected Groups" entfernt:
- Account Operators
- Server Operators
- Print Operators
- Backup Operators
ich bräuchte das aber für die "Administrators" Gruppe, hat jemand eine Ahnung ob das überhaut möglich ist, bzw. wenn ja, was ich machen muss?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165239
Url: https://administrator.de/contentid/165239
Printed on: April 19, 2024 at 20:04 o'clock
2 Comments
Latest comment
Moin,
um 11:32 Uhr hast Du schon getrunken? Wer irgendwo den Admin rauswirft, hat kein Vertrauen in ihn, also sollte man ihn entlassen - oder man hat Vertrauen....
Wenn Admins wirklich was nicht sehen sollen, verschlüsselt man den Datenstrom und setzt die Berechtigung so, daß Security-Admins Berechtigungen zum Entschlüsseln vergeben können - die normalen Admins können dann immer noch die Daten sichern, ohne sie lesen zu können, und das ist eminent wichtig!
Also bitte noch mal alles überdenken und konzeptionell arbeiten...
Gruß
24
um 11:32 Uhr hast Du schon getrunken? Wer irgendwo den Admin rauswirft, hat kein Vertrauen in ihn, also sollte man ihn entlassen - oder man hat Vertrauen....
Wenn Admins wirklich was nicht sehen sollen, verschlüsselt man den Datenstrom und setzt die Berechtigung so, daß Security-Admins Berechtigungen zum Entschlüsseln vergeben können - die normalen Admins können dann immer noch die Daten sichern, ohne sie lesen zu können, und das ist eminent wichtig!
Also bitte noch mal alles überdenken und konzeptionell arbeiten...
Gruß
24
Heute nicht, vorgestern ;)
Ich hätte das nicht als rauswerfen verstanden, es soll jeder Admin jedes Objekt im AD bearbeiten können, nur die Objekte einer OU eben nicht, dazu habe ich bei einer OU die Vererbung unterbrochen und eigene Berechtigungen gesetzt, es funktioniert auch im Prinzip so wie ich das haben wollte, Ziel war das User in der OU nur sich selbst bearbeiten, bzw. Gruppen in denen Sie Mitglied sind bearbeiten können, jetzt ist eben der Unterschied das jeder User Jeden ändern kann aber damit kann ich Leben.
Ich hätte das nicht als rauswerfen verstanden, es soll jeder Admin jedes Objekt im AD bearbeiten können, nur die Objekte einer OU eben nicht, dazu habe ich bei einer OU die Vererbung unterbrochen und eigene Berechtigungen gesetzt, es funktioniert auch im Prinzip so wie ich das haben wollte, Ziel war das User in der OU nur sich selbst bearbeiten, bzw. Gruppen in denen Sie Mitglied sind bearbeiten können, jetzt ist eben der Unterschied das jeder User Jeden ändern kann aber damit kann ich Leben.
