Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt

Frage Microsoft Windows Userverwaltung

Mitglied: DietmarHennecke

DietmarHennecke (Level 1) - Jetzt verbinden

02.07.2014 um 11:13 Uhr, 4785 Aufrufe, 8 Kommentare

Hallo zusammen,

ich möchte vom Personalbüro und/oder anderen Usern ohne Adminrecht AD-Adressdaten korrigieren lassen.
Hierzu habe ich das sehr schöne Script von Nils Kaczenski (http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...) angepasst.
Die User die diese Daten mit og. Script bearbeiten werden wechseln häufiger, deshalb Rechte via Gruppenberechtigung.
Wenn ich der AD-Gruppe, in der diese User sind, AdminRechte gebe funktioniert alles. ;-(((

Ich möchte aber, dass die User der Gruppe nur auf einige definierte Attribute der AD Schreibrechte haben zB. (displayName, givenName, sn, physicalDeliveryOfficeName, department, pager ...)

1. Ich als "Mausschubser" kann leider nicht alle Attribute in den Eigenschaften der Gruppe>Sicherheit> Attribut-Editor finden.
Wie kann ich alle Attribute dort anzeigen und welche Werte müssten dann dort eingetragen werden (derzeit steht bei den Attributen die dort angezeigt werden <Nicht festgelegt>) ?


2. Aus der Not heraus habe ich versucht mich mit "dsacls" anzufreunden ... bin aber mehr als unsicher, auch, weil ich keine Testumgebung habe.

ich habe hierzu das Scriptbeispiel angepasst ...
(die OU "TEST_OU_HEN" liegt direkt unter der Domain, die Gruppe in dieser OU heißt "AD-Adressbearbeitung"


set OURoot="OU=TEST_OU_HEN,DC=domain-name,DC=local"
set GRUPPE=domain-name\AD-Adressbearbeitung
set RECHTE=RPWP

dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;displayName;user
dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;givenName;user
dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;sn;user
...

leider funktioniert das so nicht. Die User in der Gruppe "AD-Adressbearbeitung" bekommen NICHT das Recht die Attribute zu schreiben.

Was muss ich am Script anpassen?
Oder wie kann ich als Mausschubser die Gruppe / alle Attributesichtbar machen und berechtigen?


Mit freundlichen Grüßen
Dietmar
Mitglied: colinardo
02.07.2014, aktualisiert um 13:17 Uhr
Hallo Dietmar,
Stichwort: Delegation
http://www.administrator.de/wissen/berechtigungen-f%C3%BCr-ein-attribut ...
Dazu passend eine Anleitung zum Erstellen einer passenden Oberfläche für die delegierten User:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory

Grüße Uwe
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 14:27 Uhr
Hallo Uwe,

danke für deine Links ... Habe die Anleitung durchgeklickt (bei uns allerdings in deutsch / Domainstruktur 2003), habe div Übersetzungsmöglichkeiten für "Write Title" ausprobiert, hat aber leider keinerlei Auswirkungen (User in der Gruppe kann Attribute nicht ändern). Wenn ich die Gruppe AD-Adressbearbeitung der Gruppe Administratoren zuordne funktioniert es.

Grüße
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014, aktualisiert um 14:49 Uhr
Zitat von DietmarHennecke:
Übersetzungsmöglichkeiten für "Write Title" ausprobiert, hat aber leider keinerlei Auswirkungen (User in
naja ein bißchen nachdenken solltes du hier schon und nicht blind das gleiche wie in der Anleitung machen, das war nur ein Beispiel für ein einzelnes Attribut 'Titel'. Hier musst du natürlich die gewünschten zu änderbaren Attribute wählen die der Nutzer ändern können soll ...
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 15:15 Uhr
Hallo Uwe,

habe natürlich nicht nur "Write Title" ausprobiert ... Ich habe div. allgemeine zB. "Erstellen,entfernen und verwalten von Benutzerkonten"
und /oder eigenschaftenspezifische Berechtigungen hinzugefügt
(Lesen, Schreiben und Alle Eigenschaften lesen, Alle Eigenschaften schreiben) hinzugefügt, nur Vollzugriff nicht.

Immer ohne Erfolg

Gruß
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014 um 15:37 Uhr
na dann wäre es mal angebracht mehr Details über deine Umgebung zu erzählen:
Welches Server OS ? Wie bzw. wo versuchen die User die Attribute zu ändern ? Haben diese sich zwischenzeitlich mal abgemeldet während du die Berechtigungen delegierst ?

Läuft hier einwandfrei ...
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 16:06 Uhr
Hallo Uwe,

- 3x Domänencontroller (1x W2K3, 2x W2k8 R2) , demnach Domänenfunktionsebene 2003 ( ich bastel und teste direkt auf einem W2k8 R2)

- ich versuche das mit dem .hta Script von Nils Kaczenski (http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...) und wie gesagt funktioniert dieses Srcipt mit Testuser und Adminrechten, das heißt mein Testuser kann die AD-Attribute ändern und noch zuvieles mehr ;-(((

- habe einen Testuser, den ich nach Änderung der Delegierung/Rechte der immer wieder neu anmelde.

Mittlerweile habe ich auch schon das dsacls-Script getestet, leider auch ohne Änderung der Rechte an der Gruppe

LG
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014, aktualisiert 09.07.2014
Wurde die Delegation auf den richtigen Container (OU) (in dem sich die User befinden welche bearbeitet werden sollen) vorgenommen? Wurde bei der Delegation angegeben welche Objekttypen bearbeitet werden dürfen (Benutzerobjekte) ?. Wurde die AD Replication zwischen den DCs abgewartet bzw. sind alle DCs synchron ? Wenn du schon viel ausprobiert hast, hast du dir eventuell die Berechtigungen zerschossen.

Demo: delegate_control.mp4 (In der Demo werden alle Attribute freigegeben, aber das Freigeben einzelner Attribute ist genauso problemlos möglich.)

Gibt auch diverse Anleitungen dazu:

p.s. wenn Ihr einen Exchange habt reicht auch folgender Befehl Powershell-Befehl in einer EMS um die nötigen Berechtigungen für eine Gruppe auf eine OU und deren "Benutzerobjekte" festzulegen:
(Das sind alle nötigen Berechtigungen für die Standardausführung des HTA-Applets also alle Eigenschaften die Defaultmäßig angezeigt werden lassen sich dann bearbeiten)
Add-ADPermission -Identity "OU=TestOU,dc=domain,dc=local" -User GRUPPEXYZ -AccessRights WriteProperty,ReadProperty -Properties displayName,givenName,sn,company,physicalDeliveryOfficeName,department,streetAddress,postalcode,l,telephonenumber,mobile,facsimileTelephoneNumber -InheritedObjectType User -InheritanceType Descendents
Der entsprechende Batch-Code für dsacls lautet wie folgt:
01.
@echo off & setlocal 
02.
set OURoot="OU=TEST_OU_HEN,DC=domain-name,DC=local" 
03.
set GRUPPE=domain-name\AD-Adressbearbeitung 
04.
set RECHTE=RPWP 
05.
set attributes=displayName givenName sn company physicalDeliveryOfficeName department streetAddress postalcode l telephonenumber mobile facsimileTelephoneNumber 
06.
for %%a in (%attributes%) DO @( 
07.
  dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;%%a;user 
08.
)
Das wurde hier an zwei Domains getestet und funktioniert einwandfrei, ansonsten habt Ihr etwas falsch konfiguriert. Was bei euch falsch läuft kann ich hier leider ohne entsprechende Infos nicht sagen.

Viel Erfolg
Grüße Uwe

p.s. eine Liste aller Attribute findest du hier: http://www.kouti.com/tables/userattributes.htm
Bitte warten ..
Mitglied: DietmarHennecke
03.07.2014 um 08:26 Uhr
Hallo Uwe,

danke für deine ausführlichen Tipps und Infos ... Ich glaube mittlerweile auch, dass da was "falsch konfiguriert" ist, da keine delegierten Rechte übernommen werden.
Ich habe nun erstmal div. "Hausarbeiten" zu erledigen

Danke
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Batch & Shell
gelöst User und AD Gruppe finden - wie das Pferd aufzäumen (5)

Frage von H41mSh1C0R zum Thema Batch & Shell ...

Windows Server
gelöst AD-User einer AD-Gruppe auslesen und in ein File schreiben (15)

Frage von Estefania zum Thema Windows Server ...

Windows Userverwaltung
gelöst Gruppenmitgliedschaft einer AD Gruppe per cmd auslesen (2)

Frage von RamboJay zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...