91863
Feb 20, 2014
3033
22
0
Wie berechtige eine Gruppe auf ein einzelnes Attribut ?
Hallo Zusammen,
ich habe die Anleitung hier gefunden:
http://technet.microsoft.com/en-us/library/cc756087(WS.10).aspx
Das Problem , das ich habe ist das Attribut Personaltitle soll von einer Abteilung gepflegt werden.
Nun möchte ich die Abteilung auf das Attribut Personaltitle berechtigen.
Nun gehe ich auf Users and Computers in Active Directory und gehe auf Delegate . Dann auf "Create a custom Task to delegate" , da finde ich aber keine Option um speziell ein Attribut zu berechtigen.
Bin ich dort richtig ? Oder geht das über das Schema ?
Danke und Gruss
Ralf
ich habe die Anleitung hier gefunden:
http://technet.microsoft.com/en-us/library/cc756087(WS.10).aspx
Das Problem , das ich habe ist das Attribut Personaltitle soll von einer Abteilung gepflegt werden.
Nun möchte ich die Abteilung auf das Attribut Personaltitle berechtigen.
Nun gehe ich auf Users and Computers in Active Directory und gehe auf Delegate . Dann auf "Create a custom Task to delegate" , da finde ich aber keine Option um speziell ein Attribut zu berechtigen.
Bin ich dort richtig ? Oder geht das über das Schema ?
Danke und Gruss
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 230530
Url: https://administrator.de/contentid/230530
Printed on: April 24, 2024 at 16:04 o'clock
22 Comments
Latest comment
Hi.
Delegate macht ja nichts anderes, als die ACL der Objekte in dieser OU zu modifizieren. Ich schätze, wenn Du mal hier ansetzt: https://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-power ... wirst Du es schaffen.
Delegate macht ja nichts anderes, als die ACL der Objekte in dieser OU zu modifizieren. Ich schätze, wenn Du mal hier ansetzt: https://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-power ... wirst Du es schaffen.
1
Hallo,
danke. Da mit den erweiterten Eigenschaften Grafisch anzeigen kenne ich bereits danke. Da gibt es den Attribut Editor.
Gut , da kann ich als Admin Settings machen. Das Ziel ist aber das Abteilung HR genau auf das Attribut Personaltitle berechtigt ist.
So das diese Abteilung nur in diesem Attribut Aenderngen , Einträge machen können.
Gruss
Ralf
danke. Da mit den erweiterten Eigenschaften Grafisch anzeigen kenne ich bereits danke. Da gibt es den Attribut Editor.
Gut , da kann ich als Admin Settings machen. Das Ziel ist aber das Abteilung HR genau auf das Attribut Personaltitle berechtigt ist.
So das diese Abteilung nur in diesem Attribut Aenderngen , Einträge machen können.
Gruss
Ralf
In meinem Link steht, wie es via Kommandozeile geht.
Kommandazeile ist mir zu grosses Risiko. Ich will es auch wo nachschauen können.
Die werden sehen wollen, wo ich das gesetzt habe. Sollte aufjedenfall Grafisch gehen. Damit man da keine Fehler macht !
Es steht dort auch nur wie man die REchte auf die OU setzt, aber nicht das Attribut. Es gibt keinerlei Beispiele
Gruss
Ralf
Die werden sehen wollen, wo ich das gesetzt habe. Sollte aufjedenfall Grafisch gehen. Damit man da keine Fehler macht !
Es steht dort auch nur wie man die REchte auf die OU setzt, aber nicht das Attribut. Es gibt keinerlei Beispiele
Gruss
Ralf
Ok, hat mich interessiert, habe ich gelöst, hier für eine OU users:
for /f %a in ('dsquery user "OU=test,DC=deinedomain,DC=local"') do dsacls %a /G deinedomain\hanswurst:RPWP;personaltitle;
Das setzt auf die OU test bei allen Usern für den User Hanswurst Lese- und Schreibrechte für personaltitle. Mach es, dann schau in die ACL eines Objektes rein und SIEHE DA, nun weißt Du auch, wie Du es über die GUI setzen kannst: es heißt dort nämlich einfach "Write title" und nicht "Write Personaltitle", wie Du vermutet hattest.
Weitere Beispiele zu DSACLS, weil Du ja nicht die Lust zu haben schienst, mal zu googlen: http://www.active-directory-faq.de/2014/01/active-directory-delegation- ...
Ist doch immer toll, wenn man Leuten "helfen" kann.
for /f %a in ('dsquery user "OU=test,DC=deinedomain,DC=local"') do dsacls %a /G deinedomain\hanswurst:RPWP;personaltitle;
Das setzt auf die OU test bei allen Usern für den User Hanswurst Lese- und Schreibrechte für personaltitle. Mach es, dann schau in die ACL eines Objektes rein und SIEHE DA, nun weißt Du auch, wie Du es über die GUI setzen kannst: es heißt dort nämlich einfach "Write title" und nicht "Write Personaltitle", wie Du vermutet hattest.
Weitere Beispiele zu DSACLS, weil Du ja nicht die Lust zu haben schienst, mal zu googlen: http://www.active-directory-faq.de/2014/01/active-directory-delegation- ...
Ist doch immer toll, wenn man Leuten "helfen" kann.
Moin,
Wenn du was zum Mausschubsen brauchst kannst du die entsprechenden Berechtigungen auf ein Attribut mit ADSIEdit setzen und anschauen.
Wie das aussieht kannst du in dieser Anleitung unter Punkt 2 anhand eines Beispiels nachlesen:
Anmeldestatus von Benutzern im Active Directory speichern
Grüße Uwe
Wenn du was zum Mausschubsen brauchst kannst du die entsprechenden Berechtigungen auf ein Attribut mit ADSIEdit setzen und anschauen.
Wie das aussieht kannst du in dieser Anleitung unter Punkt 2 anhand eines Beispiels nachlesen:
Anmeldestatus von Benutzern im Active Directory speichern
Grüße Uwe
Hallo,
ja danke vorerst. Du setzt mit oberen Befehl sozusagen auf die gesamte OU , für alle User darin Schreibrechte auf Personaltitle
Weisst Du Zufällig wie ich anstatt OU eine Gruppe setzen würde ? Bin eben kein Scripter ! DAs hast Du im Powershell gemacht, oder ?
Ueber die GUI schreibst du ACL , wo finde ich z.bsp die ACL einer Globalen Gruppe ? Das wäre ja HR ? Setzt Du das Write Title "Create a custom Task to delegate ? Oder wo ? Habe im Moment hier Remote keinen Zugriff
Oder ist das Delegation und bei Users `?
Gruss
Ralf
ja danke vorerst. Du setzt mit oberen Befehl sozusagen auf die gesamte OU , für alle User darin Schreibrechte auf Personaltitle
Weisst Du Zufällig wie ich anstatt OU eine Gruppe setzen würde ? Bin eben kein Scripter ! DAs hast Du im Powershell gemacht, oder ?
Ueber die GUI schreibst du ACL , wo finde ich z.bsp die ACL einer Globalen Gruppe ? Das wäre ja HR ? Setzt Du das Write Title "Create a custom Task to delegate ? Oder wo ? Habe im Moment hier Remote keinen Zugriff
Oder ist das Delegation und bei Users `?Gruss
Ralf
1
Hallo Colinardo,
das mit dem Mausschubsen sieht auch gut aus. Aber damit würde ich immer alle User , dessen gewünschtes Attribut einfach für Schreiben , etc.. frei setzten, oder kann man hier dann auch eine Gruppe drauf legen ?
Gruss
ralf
das mit dem Mausschubsen sieht auch gut aus. Aber damit würde ich immer alle User , dessen gewünschtes Attribut einfach für Schreiben , etc.. frei setzten, oder kann man hier dann auch eine Gruppe drauf legen ?
Gruss
ralf
Zitat von @91863:
das mit dem Mausschubsen sieht auch gut aus. Aber damit würde ich immer alle User , dessen gewünschtes Attribut einfach
für Schreiben , etc.. frei setzten, oder kann man hier dann auch eine Gruppe drauf legen ?
klar, das war ja nur ein Beispiel für die Anleitung ...das mit dem Mausschubsen sieht auch gut aus. Aber damit würde ich immer alle User , dessen gewünschtes Attribut einfach
für Schreiben , etc.. frei setzten, oder kann man hier dann auch eine Gruppe drauf legen ?
ok danke. Schaue mir das morgen mal alles an, wenn ich in der Bude bin. Ansosnten frage ich nochmal 
Danke im voraus.
Gruss
Danke im voraus.
Gruss
Hallo,
ich bin nun in der Bude. Also habe ich das Grafisch nochmals gestartet. Hoch auf die Domäne, dann auf Delegate , Create Custom Task, dann User. Wichtig bei User "Property Specific" auszuwählen. Dann erscheint "Write Title" Die Gruppe konnte ich ja zuvor auswählen.
Es sollte dann nun so gehen.
Ich wollte aber nochmals nachfragen wie es gemeint war die ACL abzurufen, so das ich sehe, das es Write Title ist und nich Write Personaltitle ?
Wenn ich auf dem USer Object selbst bin und das Attribut oeffne sehe ich immer nur Personaltitel aber kein Write Title . Siehe Bild.
Gruss
ich bin nun in der Bude. Also habe ich das Grafisch nochmals gestartet. Hoch auf die Domäne, dann auf Delegate , Create Custom Task, dann User. Wichtig bei User "Property Specific" auszuwählen. Dann erscheint "Write Title" Die Gruppe konnte ich ja zuvor auswählen.
Es sollte dann nun so gehen.
Ich wollte aber nochmals nachfragen wie es gemeint war die ACL abzurufen, so das ich sehe, das es Write Title ist und nich Write Personaltitle ?
Wenn ich auf dem USer Object selbst bin und das Attribut oeffne sehe ich immer nur Personaltitel aber kein Write Title . Siehe Bild.
Gruss
Editiere die Acl des Objektes.Rechtsklick auf das Objekt, dann auf den Reiter Sicherheit. Dieser muss zunächst eingeblendet werden.
Irgendwie klappt das alles nicht. Ich gehe auf das Benutzerobject , Sicherheit, oder auch auch Attribute. Aber wie blendet man nun entsprechende Zeile ein ?
Gruss
Ralf
Gruss
Ralf
Es gibt da einen Knopf "erweitert", da kommen dann die Einzelrechte.
Tab Sicherheit > Erweitert > Hinzufügen > "Nutzer oder Gruppe wählen" > Tab "Eigenschaften" wählen
Voila ...
Voila ...
ok danke.
Das hat alles soweit geklappt. Was ich meinte, wo ich den Zusammenhang sehe, das Personaltitle nun Write Title ist.
Im Erweitert etc.. hatte ich bereits alles gesetzt.
Gruss
ralf
Das hat alles soweit geklappt. Was ich meinte, wo ich den Zusammenhang sehe, das Personaltitle nun Write Title ist.
Im Erweitert etc.. hatte ich bereits alles gesetzt.
Gruss
ralf
1
es gibt kein Write Title Attribut sondern nur ein personalTitle Attribut das man entweder beschreiben(write) darf oder eben nicht !!!
Englisch erste Klasse
Englisch erste Klasse
1
Derwowusste schreibt eben oben:
Mach es, dann schau in die ACL eines Objektes rein und SIEHE DA, nun weißt Du auch, wie Du es über die GUI setzen kannst: es heißt dort nämlich einfach "Write title" und nicht "Write Personaltitle", wie Du vermutet hattest.
Gruss
Ralf
Mach es, dann schau in die ACL eines Objektes rein und SIEHE DA, nun weißt Du auch, wie Du es über die GUI setzen kannst: es heißt dort nämlich einfach "Write title" und nicht "Write Personaltitle", wie Du vermutet hattest.
Gruss
Ralf
gibts hier bei mir nicht, zeig uns doch mit einem Screenshot was du meinst, vermutlich reden wir hier alle aneinander vorbei...
Also ich habe mal ne kleine Anleitung erstellt.
Die sollte ja nun so stimmen.
Berechtigungen für ein Attribut eines Users setzen
Die sollte ja nun so stimmen.
Berechtigungen für ein Attribut eines Users setzen
dann habe wir hier nur sprachlich aneinander vorbei geredet. War von einem deutschen System ausgegangen, dort heißt es natürlich Anrede schreiben. Im AD sind das halt alles generische englische Begriffe.
"Write Title" = schreibe personalTitle Attribut im AD
dann können wir das Thema jetzt abschließen.
Grüße Uwe
"Write Title" = schreibe personalTitle Attribut im AD
dann können wir das Thema jetzt abschließen.
Grüße Uwe
1
Hallo,
ja vielen Dank für die Hilfe. Wollte es eben grafisch lösen.
Gruss
Ralf
ja vielen Dank für die Hilfe. Wollte es eben grafisch lösen.
Gruss
Ralf
