8
Domain User soll nach RD Anmeldung am DC auch eine MMC öffnen können
Huhu,
nach dem Erstellen einer angepassten MMC zur Benutzerpflege für einen Domain User
(danke an die schöne Anleitung:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory )
habe ich jetzt nur das Thema, dass der User die MMC nicht öffnen kann. Es fehlt ihm das nötige erhöhte Recht dazu. Macht man den User zum Admin, klappt es. Das soll er ja aber nicht sein...
Anmelden soll er sich am DC per Remote Desktop, das klappt bereits.
(bewusst nicht die RSAT Variante, dauert pro Klick 30sec! Die Fehlersuche hier kann vlt. an anderer Stelle mal besprochen werden
)
Server: 2012 R2
Domain/Forest Functional Level: 2012 R2
Unter ADUC per Delegate Control Rechte auf nur eine spezielle OU vergeben:
Folgende Rechte auf Allow :
Create/Delete Group/User Objects
Full Control auf absteigende Objekte
unter Local Group Policy noch folgende Änderung vorgenommen, jedoch ohne Effekt:
User --> Adm. Templates --> Windows Components --> Microsoft Management Console -->
1. Restrict the User from entering author mode --> disabled
2. Restrict users to the explicitly permitted list of Snap-ins --> disabled
Ich habe auch schon versucht, den User zu einer BUILTIN Gruppe hinzuzufügen, die mir am sinnvollsten erschien, leider aber auch ohne Effekt:
Account Operators
Remote Management Users
Es reicht auch nicht, der mmc unter Sicherheit den User als berechtigt einzutragen...
Habe auch alle Rechte in Summe versucht, keine Chance...
Er kann einfach diese (und auch alle anderen) MMC nicht öffnen, da immer wieder erhöhte Rechte gefordert werden...
Ist das eine 2012 R2 Eigenheit?
Wer kann helfen und hat sich da schon einmal durchgewissen?
Wo ist diese vermaledeite Stelle, um meinem Domain User das nötige Recht zum Anmelden an einer MMC auf dem Domain Controller zu geben?
Grüße
aus HH
nach dem Erstellen einer angepassten MMC zur Benutzerpflege für einen Domain User
(danke an die schöne Anleitung:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory )
habe ich jetzt nur das Thema, dass der User die MMC nicht öffnen kann. Es fehlt ihm das nötige erhöhte Recht dazu. Macht man den User zum Admin, klappt es. Das soll er ja aber nicht sein...
Anmelden soll er sich am DC per Remote Desktop, das klappt bereits.
(bewusst nicht die RSAT Variante, dauert pro Klick 30sec! Die Fehlersuche hier kann vlt. an anderer Stelle mal besprochen werden
)Server: 2012 R2
Domain/Forest Functional Level: 2012 R2
Unter ADUC per Delegate Control Rechte auf nur eine spezielle OU vergeben:
Folgende Rechte auf Allow :
Create/Delete Group/User Objects
Full Control auf absteigende Objekte
wie oben beschrieben den sichtbaren Bereich auch nur auf diese eine OU eingeschränkt.
unter Local Group Policy noch folgende Änderung vorgenommen, jedoch ohne Effekt:
User --> Adm. Templates --> Windows Components --> Microsoft Management Console -->
1. Restrict the User from entering author mode --> disabled
2. Restrict users to the explicitly permitted list of Snap-ins --> disabled
Ich habe auch schon versucht, den User zu einer BUILTIN Gruppe hinzuzufügen, die mir am sinnvollsten erschien, leider aber auch ohne Effekt:
Account Operators
Remote Management Users
Es reicht auch nicht, der mmc unter Sicherheit den User als berechtigt einzutragen...
Habe auch alle Rechte in Summe versucht, keine Chance...
Er kann einfach diese (und auch alle anderen) MMC nicht öffnen, da immer wieder erhöhte Rechte gefordert werden...
Ist das eine 2012 R2 Eigenheit?
Wer kann helfen und hat sich da schon einmal durchgewissen?
Wo ist diese vermaledeite Stelle, um meinem Domain User das nötige Recht zum Anmelden an einer MMC auf dem Domain Controller zu geben?
Grüße
aus HH
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 275672
Url: https://administrator.de/contentid/275672
Printed on: April 18, 2024 at 23:04 o'clock
8 Comments
Latest comment
Hi.
Du tätest besser daran, Dein RSAT flott zu kriegen. Am DC lokal anmelden lassen, ist ein NoGo, ebenso wie Mitgliedschaft in Account Operators.
PS:
Du tätest besser daran, Dein RSAT flott zu kriegen. Am DC lokal anmelden lassen, ist ein NoGo, ebenso wie Mitgliedschaft in Account Operators.
PS:
Es reicht auch nicht, der mmc unter Sicherheit den User als berechtigt einzutragen...
Das NTFS-Recht auf die Datei hat doch nichts mit der UAC zu tun.
Danke für deine Antwort.
Wg. NTFS: Irgendwann, wenn alles nicht will, tut man eben auch unnützes Zeug :-o
Unabhängig davon, dass es der DC ist, wenn es ein MemberServer wäre, stünde man vor dem gleichen Problem...nur eben habe ich keinen anderen, müssig zu erklären wieso und warum.
Wenn noch jemand eine Idee hätte, wäre ich sehr dankbar.
Diese Variante, die ja in die ähnliche Richtung geht, klappte leider auch nicht:
http://blogs.technet.com/b/jlosey/archive/2009/09/02/granting-access-to ...
Wg. NTFS: Irgendwann, wenn alles nicht will, tut man eben auch unnützes Zeug :-o
Unabhängig davon, dass es der DC ist, wenn es ein MemberServer wäre, stünde man vor dem gleichen Problem...nur eben habe ich keinen anderen, müssig zu erklären wieso und warum.
Wenn noch jemand eine Idee hätte, wäre ich sehr dankbar.
Diese Variante, die ja in die ähnliche Richtung geht, klappte leider auch nicht:
http://blogs.technet.com/b/jlosey/archive/2009/09/02/granting-access-to ...
Hi,
nein!
Ganz klar wie DWW schreibt. Installiere das RSAT auf einem belibigen PC (Arbeitzplatz des Mitarbeiters) und stelle ihm dort die MMC zur Verfügung.
E.
nein!
Ganz klar wie DWW schreibt. Installiere das RSAT auf einem belibigen PC (Arbeitzplatz des Mitarbeiters) und stelle ihm dort die MMC zur Verfügung.
E.
Ich sag mal Danke.
Aber:
Ich erwähnte eingangs: es ist mir derzeit nicht möglich, RSAT zu etablieren. Es war ganz klar auch nicht danach gefragt, RSAT zu kommentieren.
Noch einmal die Frage:
Wie erreiche ich es, einem Domain User das Starten einer MMC auf einem DC zu ermöglichen, ohne dass erhöhte Rechte erforderlich sind?
Grüße
aus HH
Aber:
Ich erwähnte eingangs: es ist mir derzeit nicht möglich, RSAT zu etablieren. Es war ganz klar auch nicht danach gefragt, RSAT zu kommentieren.
Noch einmal die Frage:
Wie erreiche ich es, einem Domain User das Starten einer MMC auf einem DC zu ermöglichen, ohne dass erhöhte Rechte erforderlich sind?
Grüße
aus HH
OK, wenn Du meinst.
Nimm einen isolierten DC, starte dort den Process Monitor und überwache MMC.exe. Dann siehst Du, wo sie überall zugreift. Wenn es nur an NTFS-Rechten oder Rechten in der Registry liegen sollte, dann bekommst Du das so raus. Wenn es an den Privilegien liegen sollte, dann wirst Du diese der Reihe nach durchprobieren müssen. Viel Erfolg beim Testen! Postet Du hier bitte auch das Ergebnis?
E.
Nimm einen isolierten DC, starte dort den Process Monitor und überwache MMC.exe. Dann siehst Du, wo sie überall zugreift. Wenn es nur an NTFS-Rechten oder Rechten in der Registry liegen sollte, dann bekommst Du das so raus. Wenn es an den Privilegien liegen sollte, dann wirst Du diese der Reihe nach durchprobieren müssen. Viel Erfolg beim Testen! Postet Du hier bitte auch das Ergebnis?
E.
OK, das ist doch mal ein Plan. Versuche ich.
Wenn bis dahin noch jemand eine Idee hat, gerne
Wenn bis dahin noch jemand eine Idee hat, gerne
Moin,
auch wenn ich das wie die Kollegen für einen sicherheitstechnischen Gau halte.
Funktionieren tut das wenn man unbedingt möchte.
Was hier im Test auf einem cleanen DC und einem stinknormalen Domain-User funktioniert hat:
- Anmelden über Remote-Desktop Dienste zulassen
Beim Aufruf kommt die UAC die aber bei erneuter Eingabe der User-Daten die MMC problemlos öffnet und ein Zugriff auf "AD Benutzer und Computer" ermöglicht.
Aber trotzdem Kopfschüttel für das Vorhaben...
Grüße Uwe
auch wenn ich das wie die Kollegen für einen sicherheitstechnischen Gau halte.
Funktionieren tut das wenn man unbedingt möchte.
Was hier im Test auf einem cleanen DC und einem stinknormalen Domain-User funktioniert hat:
- Dem Benutzer in den lokalen Sicherheitsrichtlinen des DCs (secpol.msc oder via GPO) folgende Rechte geben:
- Anmelden über Remote-Desktop Dienste zulassen
Beim Aufruf kommt die UAC die aber bei erneuter Eingabe der User-Daten die MMC problemlos öffnet und ein Zugriff auf "AD Benutzer und Computer" ermöglicht.
Aber trotzdem Kopfschüttel für das Vorhaben...
Grüße Uwe
Perfekt, Uwe! Hiermit bestätigt. Mir fehlte: Lokal Anmelden...
Danke!!!
Danke!!!
