8
Berechtigung Delegieren
Hallo, ich komme leider irgendwie nicht weiter.
Ich habe mir einen Testserver Windows 2008R2 aufgesetzt. Ich bin derzeit die MsPress Bücher durch am arbeiten.
Ich habe meinen Domänencontroller eingerichtet mit der Domäne Contoso.Internal.
Nun bin ich an dem Punkt wo ich einem Benutzer die Rechte zum zurücksetzen von Kennwörtern sowie entsperren von Benutzerkonten vergeben soll.
Ich habe der OU "Delegation" über die Objektzuweisung die entspr, Rechte zugewiesen.
Den User "Andy Jakobs" habe ich in der OU "Delagation" angelegt.
Leider kann der User Andy Jakobs keine Kennwörter zurücksetzen ..... wenn ich diesen über einen Windows 7 Rechner an der Domäne anmelde.
Die Meldung fehlende Rechte erscheint immer wieder.
Wenn mir jemand die Lösung veraten könnte wäre ich sehr Dankbar.
Lg
Mawi
Ich habe mir einen Testserver Windows 2008R2 aufgesetzt. Ich bin derzeit die MsPress Bücher durch am arbeiten.
Ich habe meinen Domänencontroller eingerichtet mit der Domäne Contoso.Internal.
Nun bin ich an dem Punkt wo ich einem Benutzer die Rechte zum zurücksetzen von Kennwörtern sowie entsperren von Benutzerkonten vergeben soll.
Ich habe der OU "Delegation" über die Objektzuweisung die entspr, Rechte zugewiesen.
Den User "Andy Jakobs" habe ich in der OU "Delagation" angelegt.
Leider kann der User Andy Jakobs keine Kennwörter zurücksetzen ..... wenn ich diesen über einen Windows 7 Rechner an der Domäne anmelde.
Die Meldung fehlende Rechte erscheint immer wieder.
Wenn mir jemand die Lösung veraten könnte wäre ich sehr Dankbar.
Lg
Mawi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245763
Url: https://administrator.de/contentid/245763
Printed on: April 19, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hallo Mawi,
hier steht alles dazu:
Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen
Grüße Uwe
hier steht alles dazu:
Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen
- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Video zum freigeben von Attributen
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Grüße Uwe
So es hat jetzt funktioniert.
Wo der Fehler konkret lag, keine Ahnung?
Kann es sein, das die AD über den Assistenten der Objektverwaltung die veralgemeinerung für Kennwörter zurücksetzen.... nicht sauber akzeptiert.
Nachdem ich alle deligierten Rechte auf Standard gesetzt habe und im Assisten über die einzelenen Attribute die Rechte delegiert habe, zudem danach einen Neustart des Servers, wurden die Rechte übertragen und für den am Client angemeldeten User nutzbar.
In der AD selber konnte ich die delegierten Rechte sehen, aber am Client wurde diese dem User verwehrt.
Vielen Dank hat sehr geholfen.
Gruss Mawi
Wo der Fehler konkret lag, keine Ahnung?
Kann es sein, das die AD über den Assistenten der Objektverwaltung die veralgemeinerung für Kennwörter zurücksetzen.... nicht sauber akzeptiert.
Nachdem ich alle deligierten Rechte auf Standard gesetzt habe und im Assisten über die einzelenen Attribute die Rechte delegiert habe, zudem danach einen Neustart des Servers, wurden die Rechte übertragen und für den am Client angemeldeten User nutzbar.
In der AD selber konnte ich die delegierten Rechte sehen, aber am Client wurde diese dem User verwehrt.
Vielen Dank hat sehr geholfen.
Gruss Mawi
Ich habe der OU "Delegation" über die Objektzuweisung die entspr, Rechte zugewiesen.
Den User "Andy Jakobs" habe ich in der OU "Delagation" angelegt.
Deine Beschreibung ist missverständlich. Du gibst nicht der OU die Rechte, sondern dem User Andy Jacobs das Recht im Container der OU bei Benutzerobjekten Kennwörter zurückzusetzen ! D.h. auch das der User Andy Jacobs nicht unbedingt Mitglied der OU sein muss, um dort für Benutzer Kennwörter zurückzusetzen !Den User "Andy Jakobs" habe ich in der OU "Delagation" angelegt.
Die Rechte sollten normalerweise sofort wirksam sein, wenn nicht reicht im Normalfall ein Ab- und wieder Anmelden des Users am Client.
Neustart des Servers
das ist das erste was man bei unerklärlichen Problemen machen sollte... reboot tut halt gut 
Grüße Uwe
p.s. wenn's das dann war, den Beitrag noch als gelöst markieren. Merci.
Ok, mal schauen ob ich das jetzt so richtig verstanden habe.
Ich gebe dem User Andy Jacobs (nicht nur) das Recht im Container der OU bei Benutzerobjekten das Kennwort zu ändern. Wenn der User Andy Jacobs Mitglied einer anderen OU ist, kann er trotzdem die Kennwörter andere Benutzerobjekte ändern, sowie in der gesamten Domäne der jeweils angelegten OU`s Kennwörter ändern.
Gebe ich einer Gruppe das Recht Kennwörter zu ändern, haben diese das gleiche Recht in der gesamten Domäne der jeweils angelegten OU`s Kennwörter von Benutzerobjekten zu ändern?
Wäre das so richtig verstanden?
Gruß
Mawi
P.s: den Reboot hatte ich ausgeführt nachdem ich erst alle Rechte auf Standard gesetzt hatte, dananch wie laut DEMO die Rechte vergeben hatte. Danach lief alles ohne Probleme. habe das ganze danach noch einmal ausgeführt und es lief direkt ohne Probleme.
Ich gebe dem User Andy Jacobs (nicht nur) das Recht im Container der OU bei Benutzerobjekten das Kennwort zu ändern. Wenn der User Andy Jacobs Mitglied einer anderen OU ist, kann er trotzdem die Kennwörter andere Benutzerobjekte ändern, sowie in der gesamten Domäne der jeweils angelegten OU`s Kennwörter ändern.
Gebe ich einer Gruppe das Recht Kennwörter zu ändern, haben diese das gleiche Recht in der gesamten Domäne der jeweils angelegten OU`s Kennwörter von Benutzerobjekten zu ändern?
Wäre das so richtig verstanden?
Gruß
Mawi
P.s: den Reboot hatte ich ausgeführt nachdem ich erst alle Rechte auf Standard gesetzt hatte, dananch wie laut DEMO die Rechte vergeben hatte. Danach lief alles ohne Probleme. habe das ganze danach noch einmal ausgeführt und es lief direkt ohne Probleme.
Nein, du musst dir das so vorstellen wie die ACLs im Dateisystem. Du wählst einen Container aus z.B eine OU. In diesem Container vergibst du einer Gruppe oder einem User das Recht bei Usern innerhalb dieses Containers Benutzerobjekte zu bearbeiten.
Grüße Uwe
Gebe ich einer Gruppe das Recht Kennwörter zu ändern, haben diese das gleiche Recht in der gesamten Domäne der jeweils angelegten OU`s Kennwörter von Benutzerobjekten zu ändern?
Nur wenn du das Recht auf den Root-Container anwendest und dieses an alle Untercontainer vererbt wird !Grüße Uwe
Ah ok.
Ich glaube nun habe ich.
Der User der ein delegiertes Recht bekommt muss nicht innerhalb der OU sein. Lediglich gebe ich ihn das Recht in einer OU die in sich befindlichen Benutzerobjekte Kennwörter zu ändern.
Habe ich dem User nicht in einer anderen OU das Recht delegiert, kann er Kennwörter der darin befindlichen Benutzerobjekte nicht ändern.
Ich glaube so ist es jetzt richtig.
gruß
Mawi
Ich glaube nun habe ich.
Der User der ein delegiertes Recht bekommt muss nicht innerhalb der OU sein. Lediglich gebe ich ihn das Recht in einer OU die in sich befindlichen Benutzerobjekte Kennwörter zu ändern.
Habe ich dem User nicht in einer anderen OU das Recht delegiert, kann er Kennwörter der darin befindlichen Benutzerobjekte nicht ändern.
Ich glaube so ist es jetzt richtig.
gruß
Mawi
Ich glaube so ist es jetzt richtig.
Yip, jetzt hat's Klick gemacht
Super und freu
Dann setze ich mal auf gelöst
Gruß and greatz
Mawi
Dann setze ich mal auf gelöst
Gruß and greatz
Mawi
