7509
May 25, 2007, updated at Jun 11, 2007 (UTC)
4372
7
0
Einem User Teilberechtigung für die ADS geben
Hallo,
wir betreiben in der Firma ein ADS auf einem Win2k3-Server.
Wir haben verschiedene Arbeitsgruppen bei denen ständig neue Angestellte hinzukommen oder wieder gehen.
Ich würde gerne einem User aus jeder Arbeitsgruppe das Recht geben sich über ne MMC an der ADS anzumelden, aber nur innerhalb seiner OU Gruppen und User anzulegen oder zu entfernen.
Ich hab bis jetzt probiert gehabt die OU über Objektverwaltung dem einzelnen User zuzuweisen.
Aber wenn ich mich dann mit diesem User an der ADS anmelde kann er in alle OU's schauen und auch und auch überall Gruppenzugehörigkeiten, Passwörter usw zu ändern.
Ich hab bei der Objektverwaltung folgende Tasks aktiviert
Hat jemand ne Idee wie ich das sonst einrichten kann ?
Oder mach ich da den völlig falschen Ansatz.
Gruß
Beowulf
wir betreiben in der Firma ein ADS auf einem Win2k3-Server.
Wir haben verschiedene Arbeitsgruppen bei denen ständig neue Angestellte hinzukommen oder wieder gehen.
Ich würde gerne einem User aus jeder Arbeitsgruppe das Recht geben sich über ne MMC an der ADS anzumelden, aber nur innerhalb seiner OU Gruppen und User anzulegen oder zu entfernen.
Ich hab bis jetzt probiert gehabt die OU über Objektverwaltung dem einzelnen User zuzuweisen.
Aber wenn ich mich dann mit diesem User an der ADS anmelde kann er in alle OU's schauen und auch und auch überall Gruppenzugehörigkeiten, Passwörter usw zu ändern.
Ich hab bei der Objektverwaltung folgende Tasks aktiviert
Hat jemand ne Idee wie ich das sonst einrichten kann ?
Oder mach ich da den völlig falschen Ansatz.
Gruß
Beowulf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 59758
Url: https://administrator.de/contentid/59758
Printed on: April 24, 2024 at 06:04 o'clock
7 Comments
Latest comment
Wenn ich Dich richtig verstanden habe, dann würde ich an Deiner Stelle eine eigene AD-Konsole "bauen". Du kannst Dir benutzerdefinierte Konsolen bauen, wo dann z.B. nur die jeweilige OU zu sehen ist etc...und dann solltest Du mit z.B. einer Delegation auf diese OU die passenden Rechte verteilen...das was Du da angegeben hast, sollte passen!
Kannst du mir auch ungefähr erklären wie das funktioniert ?
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
der link sollte Dir nahezu alles zeigen können...
falls du dann noch fragen hast, nur los!
Gruß
Michael
der link sollte Dir nahezu alles zeigen können...
falls du dann noch fragen hast, nur los!
Gruß
Michael
Hi,
also ich hab das jetzt folgendermaßen probiert.
Ich hab mich über ne MMC normal in die Domäne eingeloggt. Hab dann bei der bestimmten OU "New Connection from Here" ausgewählt und dann den normalen ADS-Konsolenstamm entfernt.
Nach dem Speichern und dem Wiederaufrufen der gespeicherten Konsole war nur die OU zu sehen die ich haben wollte. Allerdings war die Anzeige auf einmal anders.
Vor jedem Eintrag steht ob es sich um eine OU oder ein CN handelt.
Allerdings kann ich jetzt nicht einfach sagen Rechtsklick und Passwort setzen sondern ich kann nur in die Eigenschaften eines zb CN's schauen und dann nach dem Attribut Userpassword suchen. Dort steht immer das das Attribut nicht gesetzt wäre und wenn ich ein neues angebe wird dies im Klartext angezeigt.
Also so richtig ist es noch nicht das was ich gesucht hatte.
Hast du noch nen Tip wie ichs besser einstellen könnte ?
Gruß
Beowulf
also ich hab das jetzt folgendermaßen probiert.
Ich hab mich über ne MMC normal in die Domäne eingeloggt. Hab dann bei der bestimmten OU "New Connection from Here" ausgewählt und dann den normalen ADS-Konsolenstamm entfernt.
Nach dem Speichern und dem Wiederaufrufen der gespeicherten Konsole war nur die OU zu sehen die ich haben wollte. Allerdings war die Anzeige auf einmal anders.
Vor jedem Eintrag steht ob es sich um eine OU oder ein CN handelt.
Allerdings kann ich jetzt nicht einfach sagen Rechtsklick und Passwort setzen sondern ich kann nur in die Eigenschaften eines zb CN's schauen und dann nach dem Attribut Userpassword suchen. Dort steht immer das das Attribut nicht gesetzt wäre und wenn ich ein neues angebe wird dies im Klartext angezeigt.
Also so richtig ist es noch nicht das was ich gesucht hatte.
Hast du noch nen Tip wie ichs besser einstellen könnte ?
Gruß
Beowulf
Also Du hast es dann nicht richtig gemacht, sorry!
Denn ich habe das schon etliche Mal gemacht, weil ich für Außenstandorte immer genau diese Anforderung hatte, einer gewissen Person für eine bestimmte OU bestimmte Rechte zu geben, und nicht mehr!
Ich kann versuchen Dir mal ne Anleitung zu basteln, mit Screenshot und Schritt für Schritt Anleitung! Weiß allerdings nicht wann ich das schaffe...und müsstest mir dann sagen, wohin ich das schicken soll!
Michael
Denn ich habe das schon etliche Mal gemacht, weil ich für Außenstandorte immer genau diese Anforderung hatte, einer gewissen Person für eine bestimmte OU bestimmte Rechte zu geben, und nicht mehr!
Ich kann versuchen Dir mal ne Anleitung zu basteln, mit Screenshot und Schritt für Schritt Anleitung! Weiß allerdings nicht wann ich das schaffe...und müsstest mir dann sagen, wohin ich das schicken soll!
Michael
Hi,
also das wäre natürlich super.
Bitte an asmodis@gmx.net.
Gruß
Beowulf
also das wäre natürlich super.
Bitte an asmodis@gmx.net.
Gruß
Beowulf
Guck noch mal hier, da ist es besser erklärt...
http://www.petri.co.il/create_taskpads_for_ad_operations.htm
http://www.petri.co.il/create_taskpads_for_ad_operations.htm
