AD-User von Personalabteilung verwaltet, aber nicht alle User sind editierbar, warum?

Hallo Leute,

mal wieder ein Problem, und ich verstehe nicht warum...

Kurzbeschreibung:
Ein Mitglied der Personalabteilung soll Userdatem im AD Pflegen. Eine SIcherheitsgruppe die zu diesem Vorgang berechtigt existiert. Manche User lassen sich auch editieren, aber manche auch nicht obwohl alle User in dieser OU sind...?

Im Detail.
Folgendes dsacls.exe script gewährt begrenzten Zugriff auf bestimmt AD eigenschaften der User:

SET DCROOT="OU=Personal,DC=domain,DC=local"  
SET SG="Personalverwaltung"  

dsacls %DCROOT% /I:S /G %SG%:RPWP;displayName
dsacls %DCROOT% /I:S /G %SG%:RPWP;givenName
dsacls %DCROOT% /I:S /G %SG%:RPWP;sn
dsacls %DCROOT% /I:S /G %SG%:RPWP;initials
dsacls %DCROOT% /I:S /G %SG%:RPWP;description
dsacls %DCROOT% /I:S /G %SG%:RPWP;telephoneNumber
dsacls %DCROOT% /I:S /G %SG%:RPWP;otherTelephone
dsacls %DCROOT% /I:S /G %SG%:RPWP;mail
dsacls %DCROOT% /I:S /G %SG%:RPWP;physicalDeliveryOfficeName
dsacls %DCROOT% /I:S /G %SG%:RPWP;streetAddress
dsacls %DCROOT% /I:S /G %SG%:RPWP;postOfficeBox
dsacls %DCROOT% /I:S /G %SG%:RPWP;l
dsacls %DCROOT% /I:S /G %SG%:RPWP;st
dsacls %DCROOT% /I:S /G %SG%:RPWP;postalCode
dsacls %DCROOT% /I:S /G %SG%:RPWP;c
dsacls %DCROOT% /I:S /G %SG%:RPWP;homePhone
dsacls %DCROOT% /I:S /G %SG%:RPWP;pager
dsacls %DCROOT% /I:S /G %SG%:RPWP;mobile
dsacls %DCROOT% /I:S /G %SG%:RPWP;title
dsacls %DCROOT% /I:S /G %SG%:RPWP;department
dsacls %DCROOT% /I:S /G %SG%:RPWP;company
dsacls %DCROOT% /I:S /G %SG%:RPWP;manager
dsacls %DCROOT% /I:S /G %SG%:RPWP;directReports

Nun sollte ein Mitglied der SG "Personalverwaltung" in der Lage sein, einen User der OU (Organisationseinheit) Personal und der untergeordneten OUs zu verwalten.

Das klappt auch aber eben nicht bei allen Usern.... und weil ich einfach ein Muster darin erkennen kann welche User editierbar sind und welche nicht kommt es mir willkürlich vor...?

Ich habe gelesen, dass user mit übergeordneten rechten von solchen "AD Sekretärinnen" nicht verwaltet werden können, erwartungsgemäß klappt das auch nicht - nur dann verstehe ich nicht warum Kollegen des Users nicht verwaltet werden können...?
Wie entscheidet das AD darüber welche User so verwaltet werden können und welche nicht?

gruß

Please also mark the comments that contributed to the solution of the article

Content-Key: 243135

Url: https://administrator.de/contentid/243135

Printed on: April 24, 2024 at 23:04 o'clock

2 Comments

Latest comment

/push

ich habe leider immer noch das Problem das User mit der selben oder höheren Privilegien" (und seien es einfach mal irgendwelche Sicherjeitsgruppen) nicht bearbeitet werden können ... Hilfe!

Ich habe die Lösung im letzten Beitrag dieses Technet Themas gefunden:
http://social.technet.microsoft.com/Forums/de-DE/28e78982-8624-4aff-93a ...

Die Berechtigung der Gruppe zur Adressbearbeitung vererbt sich NICHT auf ältere Benutzer innheralbn der OU und den Sub OU. Das lässt sich Manuell über Eigenschaften > Sicherheit > Erweiter beim entsprechenden User ändern.

Hat jemand zufällig ein Script zur Hand womit das automatisch geht?

Sinngemäß ist der Fall jetzt aber sozusagen gelöst.

German solved Question Windows User Management Microsoft

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments