Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Objektverwaltung AD (Computerkonten)

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

22.02.2010 um 12:56 Uhr, 14202 Aufrufe, 7 Kommentare

1. Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
2. Wie entfernt man eine Objektverwaltung auf Domänenebene?

Hallo,

ich habe ein Skript geschrieben (Batch), das eine beliebige Aktion einmal ausführt und anschließend das Computerkonto verschiebt. Damit kann ich manuell alle Rechner in eine bestimmte OU verschieben, auf welche das erwähnte Skript per Gruppenrichtlinie als Startskript ausgeführt wird, wonach die Rechner - durch Abarbeitung der Batch - automatisch wieder zurück in die alte OU verschoben werden.

Kurzum, auf allen Rechner wird eine Aktion genau nur einmal ausgeführt.

Funktioniert soweit ganz gut, nur leider habe ich noch ein Problem:
der Befehl dsmove funktioniert nur, wenn er mit den entsprechenden Rechten ausgeführt wird. Wenn ich die Batch als Admin ausführe, oder Benutzername und Kennwort in der Batch mitgebe, dann klappt alles, ansonsten schlägt das Verschieben fehl. Also muss ich entweder den Computerkonten das Recht zuweisen, Computerkonten in bestimmten OUs zu Verwalten, oder ich lege einen extra Benutzer an, der nichts kann außer Computerkonten in bestimmten OUs verwalten.

Leider ist in der Objektverwaltung im AD ein solcher Task (beispielsweise Computerkonten verwalten) nicht vordefiniert. Ich habe selbst mal etwas ausprobiert und dem neu erstellten Testbenutzer das Recht gegeben Computerobjekte zu erstellen und löschen, aber in der letzten Maske des Assistenten tauchen dann nochmal Berechtigungen auf, mit denen ich dann wenig anfangen kann. Hier werde ich aufgefordert, Berechtigungen zu setzen, wobei die Objekte "Computer" gar nicht mehr auftauchen. Stattdessen kann ich beispielsweise das Recht lesen/schreiben erteilen, was sich dann aber gleich auf solche Attribute auswirkt, die ich gar nicht miteinbezogen haben möchte (Postfachspeicher etc.).

Daher nochmal in aller Kürze die Frage:
Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?


Frage 2: Über eine Microsoft-Seite wurde der Vorgang für die Verwaltung von Computerkonten angeführt. Dabei ging es um die Erstellung und Löschung von Konten, und der Vorgang der Objektverwaltung wurde in der Erläuterung direkt auf der Domänenebene ausgeführt (nicht auf einer untergeordneten OU). Leider sieht man direkt auf der Domäne keine Lasche "Sicherheit", daher weiß ich jetzt nicht, wie ich das Testkonto hier wieder entfernen kann.

Viele Grüße an Euch alle,
die Kaffeepause

PS: Wen es interessiert:
Die Batch ermittelt über dsquery das eigene Computerkonto und schreibt das Ergebnis in eine temporäre Textdatei.
Diese wird im zweiten Schritt ausgewertet (über findstr wird nach verschiedenen Begriffen gesucht) und Variablen gefüllt (wie Standort).
Im dritten Schritt wird das Computerkonto via dsmove und mit Hilfe der Variablen verschoben.
Nur wenn alle Schritte erfolgreich waren (Prüfung über die Variable errorlevel), wird die anfangs erwähnte einmalige Aktion ausgeführt.

01.
DSQUERY computer -name %computername%>%temp%\dsquery.txt 
02.
FINDSTR /C:"London" "%temp%\dsquery.txt" 
03.
IF NOT errorlevel 1 SET standort=London 
04.
DSMOVE "CN=%computername%,OU=Umstellung,OU=%standort%,DC=firma" -newparent "OU=%standort%,DC=firma" 
05.
IF %errorlevel%==0 GOTO aktion 
06.
GOTO ende
Mitglied: Kaffeepause
22.02.2010 um 13:10 Uhr
Hallo,

Frage Zwei hat sich erledigt. Die Lasche "Sicherheit" ist doch da. Hab anscheinend vorhin mehrmals nicht richtig geguckt?

Viele Grütze,
Kaffeepause
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 13:26 Uhr
dsmove funktioniert dann, wenn der Benutzer Mitglied der Builtin-Gruppe "Konten-Operatoren" ist.

Ich könnte
a) einen Benutzer anlegen, der Mitglied der Konten-Operatoren ist und in der Batch Benutzername/Passwort hinterlegen (ist dann aber Klartext...)
b) die Domänencomputer zu der Gruppe der Konten-Operatoren hinzufügen (die Batch wird als Startskript ja unter der Kennung des startenden Computerkontos ausgeführt

Momentan neige ich zu B.

Weiß trotzdem jemand die genauen Rechte (nicht mehr und nicht weniger Rechte), die man braucht, um mit dsmove ein Computerkonto zu verschieben?

Viele Grüße,
Kaffeepause
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
22.02.2010 um 13:48 Uhr
Servus,

welche Berechtigungen zum verschieben eines Computerkontos benötigt werden, erfährst du aus dem folgenden Artikel:

[LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent]
http://blog.dikmenoglu.de/Der+Objektdelegierungsassistent.aspx


Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 15:51 Uhr
Hi,

ja, da hätt ich auch noch nachschauen können - dein Blog ist mir bekannt (hervorragende Seite!).

Das, was du dort beschreibst, funktioniert zunächst super.
Template erweitern, dann dieses Template in der Objektverwaltung einsetzen.

Bei mir - in Zusammenhang mit dem dsmove-Befehl - scheint es jedoch nicht zu funktionieren.

  • Als errorlevel für den dsmove-Befehl (der - da er als Startskript aufgerufen wird - mit den Rechten des aktuell startenden Computerkontos ausgeführt wird) erhalte ich die abstruse Zahl -2147024891 (Zugriff verweigert).
  • Gebe ich in der Batchdatei Benutzernamen und Passwort für ein Konto mit, dem ich vorher über die Objektverwaltung die Rechte Computer zu verschieben erteilt habe, erscheint die selbe Fehlermeldung (Zugriff verweigert).
  • Führe ich die Batch entweder als Domänen-Admin aus, oder gebe ich Benutzername/Passwort des Domänen-Admins in der Batch mit, dann funktioniert dsmove (errorlevel 0, dsmove erfolgreich).

Im AD habe ich auch schon die Sicherheit auf die OUs und untergeordneten OUs überprüft: dort steht unter anderem, dass dieser angelegte Benutzer und auch die Comänencomputer das Recht haben, Computerkonten zu löschen/erstellen (+ einige Leserechte mehr). Die Zuweisung über die Objektverwaltung hat also funktioniert. Irgendwie scheint noch ein Recht zu fehlen?

Der - zu Testzwecken angelegte - Benutzer ist mittlerweile Mitglied der Gruppen Domänen-Benutzer und Konten-Operatoren. Was will er denn noch?

Viele Grüße,
dein Directory-Blog ist super!
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 16:15 Uhr
So, noch was ausprobiert:
ich hab die AD-Konsole als Testbenutzer (der, dem die Verwaltungsrechte für Computerkonten erteilt wurden) gestartet und habe dort - per Drag & Drop versucht, ein Computerkonto zu verschieben. Das hat auch nicht funktioniert (Zugriff verweigert).

Es scheinen noch Rechte zu fehlen. Ich weiß nur nicht welche.

Viele Grüße,
die Kaffeepause
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
22.02.2010 um 16:55 Uhr
Hast du auch das Template auf dem Quell- und ZIEL-Container ausgeführt, so wie es in dem von mir verlinkten Artikel beschrieben ist?


Gruß, Yusuf

P.S. Vielen Dank für die Blumen
Bitte warten ..
Mitglied: Kaffeepause
23.02.2010 um 15:47 Uhr
Tut leider immer noch nicht.

Ich hatte das Template zunächst nur auf dem übergeordneten Container ausgeführt, hab aber in den Sicherheitseinstellungen der untergeordneten OUs gesehen (effektive Berechtigungen), dass solche Rechte wie Computerkonto löschen/erstellen dort auftauchten. Daher hatte ich das Template nicht explizit noch einmal auf Quell-/Zielcontainer angewendet.

Jetzt hab ich das nochmal getan, hat aber momentan noch nichts gebracht.

AD-Struktur
<Firma>\<Standort>\Rechner\<Gerätetyp>\Umstellung

In der OU Rechner sind zwei Unter-OUs (Notebooks/Workstations). Dort sind alle Rechner des jeweiligen Standorts drin. Die einmalige Batch wird als Startskript auf der OU "Umstellung" ausgeführt und hat zur Folge, dass die Rechner einfach eine OU nach oben verschoben werden (sollen).

Über das Template habe ich erst der Gruppe "Domänencomputer" die Rechte zum Verschieben von Computerkonten gegeben (und zwar explizit auf jede betroffene OU, auch wenn die untereinander verschachtelt sind und das Recht somit vererbt werden müsste) und dann nochmal das gleich mit dem zu Testzwecken angelegten Benutzeraccount.

Das Skript ist nach wie vor nicht in der Lage, ein Computerkonto über dsmove zu verschieben (-2147024891, Zugriff verweigert). Aber auch wenn ich das Active Directory (ausführen als...) unter der Benutzerkennung dieses Testkontos ausführe und dann einen Computer per Drag&Drop verschieben will, schlägt der Vorgang fehl (Zugriff verweigert). Führe ich das Skript als Domänenadmin aus, oder gebe im Skript Benutzername und Passwort des Domänenadmins mit, dann funktioniert alles.

Insofern sieht es für mich immer noch so aus, als würde da ein Recht fehlen.

Blöde Frage: Klappt es denn bei dir??

Noch ein paar blabla-Details:
Windows Server 2003, Domänen- und Gesamtfunktionsebene Windows Server 2003, eine einzige Domäne, alle Clients XP SP3

Grüße,
Kaffeepause
Bitte warten ..
Ähnliche Inhalte
Microsoft

Verwaiste Computerkonten aus AD löschen

Frage von petjol3Microsoft6 Kommentare

liebe IT Spezialisten, in einer großen Testumgebung ( 400 SRV, 300 Clients) fallen im Jahre tausende verwaiste Computer-AD-Konten an ...

Windows Userverwaltung

Objektverwaltung AD-Attribut info zuweisen

gelöst Frage von alphabw1981Windows Userverwaltung2 Kommentare

Hallo, wir wollen bei uns im Unternehmen zentrale Outlook-Signaturen einführen. Hierfür werden wir das Tool Outlooksignature nutzen. Da aufgrund ...

LAN, WAN, Wireless

RADIUS - Netzwerkrichtlinie - Computerkonten

Frage von winstarterLAN, WAN, Wireless3 Kommentare

Hallo Zusammen, die RADIUS Umgebung an sich funktioniert. Der Teufel steckt im Detail. Mit einem Windows 7 Client kann ...

Windows Server

Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen

gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 9 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 11 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 11 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...