Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt

Frage Microsoft Windows Userverwaltung

Mitglied: DietmarHennecke

DietmarHennecke (Level 1) - Jetzt verbinden

02.07.2014 um 11:13 Uhr, 5594 Aufrufe, 8 Kommentare

Hallo zusammen,

ich möchte vom Personalbüro und/oder anderen Usern ohne Adminrecht AD-Adressdaten korrigieren lassen.
Hierzu habe ich das sehr schöne Script von Nils Kaczenski (http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...) angepasst.
Die User die diese Daten mit og. Script bearbeiten werden wechseln häufiger, deshalb Rechte via Gruppenberechtigung.
Wenn ich der AD-Gruppe, in der diese User sind, AdminRechte gebe funktioniert alles. ;-(((

Ich möchte aber, dass die User der Gruppe nur auf einige definierte Attribute der AD Schreibrechte haben zB. (displayName, givenName, sn, physicalDeliveryOfficeName, department, pager ...)

1. Ich als "Mausschubser" kann leider nicht alle Attribute in den Eigenschaften der Gruppe>Sicherheit> Attribut-Editor finden.
Wie kann ich alle Attribute dort anzeigen und welche Werte müssten dann dort eingetragen werden (derzeit steht bei den Attributen die dort angezeigt werden <Nicht festgelegt>) ?


2. Aus der Not heraus habe ich versucht mich mit "dsacls" anzufreunden ... bin aber mehr als unsicher, auch, weil ich keine Testumgebung habe.

ich habe hierzu das Scriptbeispiel angepasst ...
(die OU "TEST_OU_HEN" liegt direkt unter der Domain, die Gruppe in dieser OU heißt "AD-Adressbearbeitung"


set OURoot="OU=TEST_OU_HEN,DC=domain-name,DC=local"
set GRUPPE=domain-name\AD-Adressbearbeitung
set RECHTE=RPWP

dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;displayName;user
dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;givenName;user
dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;sn;user
...

leider funktioniert das so nicht. Die User in der Gruppe "AD-Adressbearbeitung" bekommen NICHT das Recht die Attribute zu schreiben.

Was muss ich am Script anpassen?
Oder wie kann ich als Mausschubser die Gruppe / alle Attributesichtbar machen und berechtigen?


MfG
Dietmar
Mitglied: colinardo
02.07.2014, aktualisiert um 13:17 Uhr
Hallo Dietmar,
Stichwort: Delegation
http://www.administrator.de/wissen/berechtigungen-f%C3%BCr-ein-attribut ...
Dazu passend eine Anleitung zum Erstellen einer passenden Oberfläche für die delegierten User:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory

Grüße Uwe
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 14:27 Uhr
Hallo Uwe,

danke für deine Links ... Habe die Anleitung durchgeklickt (bei uns allerdings in deutsch / Domainstruktur 2003), habe div Übersetzungsmöglichkeiten für "Write Title" ausprobiert, hat aber leider keinerlei Auswirkungen (User in der Gruppe kann Attribute nicht ändern). Wenn ich die Gruppe AD-Adressbearbeitung der Gruppe Administratoren zuordne funktioniert es.

Grüße
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014, aktualisiert um 14:49 Uhr
Zitat von DietmarHennecke:
Übersetzungsmöglichkeiten für "Write Title" ausprobiert, hat aber leider keinerlei Auswirkungen (User in
naja ein bißchen nachdenken solltes du hier schon und nicht blind das gleiche wie in der Anleitung machen, das war nur ein Beispiel für ein einzelnes Attribut 'Titel'. Hier musst du natürlich die gewünschten zu änderbaren Attribute wählen die der Nutzer ändern können soll ...
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 15:15 Uhr
Hallo Uwe,

habe natürlich nicht nur "Write Title" ausprobiert ... Ich habe div. allgemeine zB. "Erstellen,entfernen und verwalten von Benutzerkonten"
und /oder eigenschaftenspezifische Berechtigungen hinzugefügt
(Lesen, Schreiben und Alle Eigenschaften lesen, Alle Eigenschaften schreiben) hinzugefügt, nur Vollzugriff nicht.

Immer ohne Erfolg

Gruß
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014 um 15:37 Uhr
na dann wäre es mal angebracht mehr Details über deine Umgebung zu erzählen:
Welches Server OS ? Wie bzw. wo versuchen die User die Attribute zu ändern ? Haben diese sich zwischenzeitlich mal abgemeldet während du die Berechtigungen delegierst ?

Läuft hier einwandfrei ...
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 16:06 Uhr
Hallo Uwe,

- 3x Domänencontroller (1x W2K3, 2x W2k8 R2) , demnach Domänenfunktionsebene 2003 ( ich bastel und teste direkt auf einem W2k8 R2)

- ich versuche das mit dem .hta Script von Nils Kaczenski (http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...) und wie gesagt funktioniert dieses Srcipt mit Testuser und Adminrechten, das heißt mein Testuser kann die AD-Attribute ändern und noch zuvieles mehr ;-(((

- habe einen Testuser, den ich nach Änderung der Delegierung/Rechte der immer wieder neu anmelde.

Mittlerweile habe ich auch schon das dsacls-Script getestet, leider auch ohne Änderung der Rechte an der Gruppe

LG
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014, aktualisiert 09.07.2014
Wurde die Delegation auf den richtigen Container (OU) (in dem sich die User befinden welche bearbeitet werden sollen) vorgenommen? Wurde bei der Delegation angegeben welche Objekttypen bearbeitet werden dürfen (Benutzerobjekte) ?. Wurde die AD Replication zwischen den DCs abgewartet bzw. sind alle DCs synchron ? Wenn du schon viel ausprobiert hast, hast du dir eventuell die Berechtigungen zerschossen.

Demo: delegate_control.mp4 (In der Demo werden alle Attribute freigegeben, aber das Freigeben einzelner Attribute ist genauso problemlos möglich.)

Gibt auch diverse Anleitungen dazu:

p.s. wenn Ihr einen Exchange habt reicht auch folgender Befehl Powershell-Befehl in einer EMS um die nötigen Berechtigungen für eine Gruppe auf eine OU und deren "Benutzerobjekte" festzulegen:
(Das sind alle nötigen Berechtigungen für die Standardausführung des HTA-Applets also alle Eigenschaften die Defaultmäßig angezeigt werden lassen sich dann bearbeiten)
Add-ADPermission -Identity "OU=TestOU,dc=domain,dc=local" -User GRUPPEXYZ -AccessRights WriteProperty,ReadProperty -Properties displayName,givenName,sn,company,physicalDeliveryOfficeName,department,streetAddress,postalcode,l,telephonenumber,mobile,facsimileTelephoneNumber -InheritedObjectType User -InheritanceType Descendents
Der entsprechende Batch-Code für dsacls lautet wie folgt:
01.
@echo off & setlocal 
02.
set OURoot="OU=TEST_OU_HEN,DC=domain-name,DC=local" 
03.
set GRUPPE=domain-name\AD-Adressbearbeitung 
04.
set RECHTE=RPWP 
05.
set attributes=displayName givenName sn company physicalDeliveryOfficeName department streetAddress postalcode l telephonenumber mobile facsimileTelephoneNumber 
06.
for %%a in (%attributes%) DO @( 
07.
  dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;%%a;user 
08.
)
Das wurde hier an zwei Domains getestet und funktioniert einwandfrei, ansonsten habt Ihr etwas falsch konfiguriert. Was bei euch falsch läuft kann ich hier leider ohne entsprechende Infos nicht sagen.

Viel Erfolg
Grüße Uwe

p.s. eine Liste aller Attribute findest du hier: http://www.kouti.com/tables/userattributes.htm
Bitte warten ..
Mitglied: DietmarHennecke
03.07.2014 um 08:26 Uhr
Hallo Uwe,

danke für deine ausführlichen Tipps und Infos ... Ich glaube mittlerweile auch, dass da was "falsch konfiguriert" ist, da keine delegierten Rechte übernommen werden.
Ich habe nun erstmal div. "Hausarbeiten" zu erledigen

Danke
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst AD-Gruppen Auswahl als Dropdownliste (4)

Frage von Peterz zum Thema Batch & Shell ...

Windows Server
gelöst AD-User einer AD-Gruppe auslesen und in ein File schreiben (15)

Frage von Estefania zum Thema Windows Server ...

Microsoft
gelöst Alte AD Gruppen (2)

Frage von Korpi-89 zum Thema Microsoft ...

Batch & Shell
gelöst PS Werte CSV-Datei in AD Attribut (3)

Frage von lupolo zum Thema Batch & Shell ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
gelöst Leiten "dumme" Switches VLAN-Tags mit durch? (26)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (14)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Router & Routing
FTTH bzw FTTB Router (13)

Frage von ukulele-7 zum Thema Router & Routing ...