Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt

Frage Microsoft Windows Userverwaltung

Mitglied: DietmarHennecke

DietmarHennecke (Level 1) - Jetzt verbinden

02.07.2014 um 11:13 Uhr, 5888 Aufrufe, 8 Kommentare

Hallo zusammen,

ich möchte vom Personalbüro und/oder anderen Usern ohne Adminrecht AD-Adressdaten korrigieren lassen.
Hierzu habe ich das sehr schöne Script von Nils Kaczenski (http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...) angepasst.
Die User die diese Daten mit og. Script bearbeiten werden wechseln häufiger, deshalb Rechte via Gruppenberechtigung.
Wenn ich der AD-Gruppe, in der diese User sind, AdminRechte gebe funktioniert alles. ;-(((

Ich möchte aber, dass die User der Gruppe nur auf einige definierte Attribute der AD Schreibrechte haben zB. (displayName, givenName, sn, physicalDeliveryOfficeName, department, pager ...)

1. Ich als "Mausschubser" kann leider nicht alle Attribute in den Eigenschaften der Gruppe>Sicherheit> Attribut-Editor finden.
Wie kann ich alle Attribute dort anzeigen und welche Werte müssten dann dort eingetragen werden (derzeit steht bei den Attributen die dort angezeigt werden <Nicht festgelegt>) ?


2. Aus der Not heraus habe ich versucht mich mit "dsacls" anzufreunden ... bin aber mehr als unsicher, auch, weil ich keine Testumgebung habe.

ich habe hierzu das Scriptbeispiel angepasst ...
(die OU "TEST_OU_HEN" liegt direkt unter der Domain, die Gruppe in dieser OU heißt "AD-Adressbearbeitung"


set OURoot="OU=TEST_OU_HEN,DC=domain-name,DC=local"
set GRUPPE=domain-name\AD-Adressbearbeitung
set RECHTE=RPWP

dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;displayName;user
dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;givenName;user
dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;sn;user
...

leider funktioniert das so nicht. Die User in der Gruppe "AD-Adressbearbeitung" bekommen NICHT das Recht die Attribute zu schreiben.

Was muss ich am Script anpassen?
Oder wie kann ich als Mausschubser die Gruppe / alle Attributesichtbar machen und berechtigen?


MfG
Dietmar
Mitglied: colinardo
02.07.2014, aktualisiert um 13:17 Uhr
Hallo Dietmar,
Stichwort: Delegation
http://www.administrator.de/wissen/berechtigungen-f%C3%BCr-ein-attribut ...
Dazu passend eine Anleitung zum Erstellen einer passenden Oberfläche für die delegierten User:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory

Grüße Uwe
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 14:27 Uhr
Hallo Uwe,

danke für deine Links ... Habe die Anleitung durchgeklickt (bei uns allerdings in deutsch / Domainstruktur 2003), habe div Übersetzungsmöglichkeiten für "Write Title" ausprobiert, hat aber leider keinerlei Auswirkungen (User in der Gruppe kann Attribute nicht ändern). Wenn ich die Gruppe AD-Adressbearbeitung der Gruppe Administratoren zuordne funktioniert es.

Grüße
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014, aktualisiert um 14:49 Uhr
Zitat von DietmarHennecke:
Übersetzungsmöglichkeiten für "Write Title" ausprobiert, hat aber leider keinerlei Auswirkungen (User in
naja ein bißchen nachdenken solltes du hier schon und nicht blind das gleiche wie in der Anleitung machen, das war nur ein Beispiel für ein einzelnes Attribut 'Titel'. Hier musst du natürlich die gewünschten zu änderbaren Attribute wählen die der Nutzer ändern können soll ...
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 15:15 Uhr
Hallo Uwe,

habe natürlich nicht nur "Write Title" ausprobiert ... Ich habe div. allgemeine zB. "Erstellen,entfernen und verwalten von Benutzerkonten"
und /oder eigenschaftenspezifische Berechtigungen hinzugefügt
(Lesen, Schreiben und Alle Eigenschaften lesen, Alle Eigenschaften schreiben) hinzugefügt, nur Vollzugriff nicht.

Immer ohne Erfolg

Gruß
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014 um 15:37 Uhr
na dann wäre es mal angebracht mehr Details über deine Umgebung zu erzählen:
Welches Server OS ? Wie bzw. wo versuchen die User die Attribute zu ändern ? Haben diese sich zwischenzeitlich mal abgemeldet während du die Berechtigungen delegierst ?

Läuft hier einwandfrei ...
Bitte warten ..
Mitglied: DietmarHennecke
02.07.2014 um 16:06 Uhr
Hallo Uwe,

- 3x Domänencontroller (1x W2K3, 2x W2k8 R2) , demnach Domänenfunktionsebene 2003 ( ich bastel und teste direkt auf einem W2k8 R2)

- ich versuche das mit dem .hta Script von Nils Kaczenski (http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...) und wie gesagt funktioniert dieses Srcipt mit Testuser und Adminrechten, das heißt mein Testuser kann die AD-Attribute ändern und noch zuvieles mehr ;-(((

- habe einen Testuser, den ich nach Änderung der Delegierung/Rechte der immer wieder neu anmelde.

Mittlerweile habe ich auch schon das dsacls-Script getestet, leider auch ohne Änderung der Rechte an der Gruppe

LG
Dietmar
Bitte warten ..
Mitglied: colinardo
02.07.2014, aktualisiert 09.07.2014
Wurde die Delegation auf den richtigen Container (OU) (in dem sich die User befinden welche bearbeitet werden sollen) vorgenommen? Wurde bei der Delegation angegeben welche Objekttypen bearbeitet werden dürfen (Benutzerobjekte) ?. Wurde die AD Replication zwischen den DCs abgewartet bzw. sind alle DCs synchron ? Wenn du schon viel ausprobiert hast, hast du dir eventuell die Berechtigungen zerschossen.

Demo: delegate_control.mp4 (In der Demo werden alle Attribute freigegeben, aber das Freigeben einzelner Attribute ist genauso problemlos möglich.)

Gibt auch diverse Anleitungen dazu:

p.s. wenn Ihr einen Exchange habt reicht auch folgender Befehl Powershell-Befehl in einer EMS um die nötigen Berechtigungen für eine Gruppe auf eine OU und deren "Benutzerobjekte" festzulegen:
(Das sind alle nötigen Berechtigungen für die Standardausführung des HTA-Applets also alle Eigenschaften die Defaultmäßig angezeigt werden lassen sich dann bearbeiten)
Add-ADPermission -Identity "OU=TestOU,dc=domain,dc=local" -User GRUPPEXYZ -AccessRights WriteProperty,ReadProperty -Properties displayName,givenName,sn,company,physicalDeliveryOfficeName,department,streetAddress,postalcode,l,telephonenumber,mobile,facsimileTelephoneNumber -InheritedObjectType User -InheritanceType Descendents
Der entsprechende Batch-Code für dsacls lautet wie folgt:
01.
@echo off & setlocal 
02.
set OURoot="OU=TEST_OU_HEN,DC=domain-name,DC=local" 
03.
set GRUPPE=domain-name\AD-Adressbearbeitung 
04.
set RECHTE=RPWP 
05.
set attributes=displayName givenName sn company physicalDeliveryOfficeName department streetAddress postalcode l telephonenumber mobile facsimileTelephoneNumber 
06.
for %%a in (%attributes%) DO @( 
07.
  dsacls %OURoot% /I:T /G %GRUPPE%:%RECHTE%;%%a;user 
08.
)
Das wurde hier an zwei Domains getestet und funktioniert einwandfrei, ansonsten habt Ihr etwas falsch konfiguriert. Was bei euch falsch läuft kann ich hier leider ohne entsprechende Infos nicht sagen.

Viel Erfolg
Grüße Uwe

p.s. eine Liste aller Attribute findest du hier: http://www.kouti.com/tables/userattributes.htm
Bitte warten ..
Mitglied: DietmarHennecke
03.07.2014 um 08:26 Uhr
Hallo Uwe,

danke für deine ausführlichen Tipps und Infos ... Ich glaube mittlerweile auch, dass da was "falsch konfiguriert" ist, da keine delegierten Rechte übernommen werden.
Ich habe nun erstmal div. "Hausarbeiten" zu erledigen

Danke
Bitte warten ..
Ähnliche Inhalte
Windows Server
Wie berechtige eine Gruppe auf ein einzelnes Attribut ?
gelöst Frage von 91863Windows Server22 Kommentare

Hallo Zusammen, ich habe die Anleitung hier gefunden: Das Problem , das ich habe ist das Attribut Personaltitle soll ...

Windows Userverwaltung
Set AD User Attribute
gelöst Frage von joehuabaWindows Userverwaltung2 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Ich kann per PowerShell in die Attribute von AD-Usern schreiben. (z.B. Stadt) Allerdings ...

Batch & Shell
Powershell AD Attribute auslesen
gelöst Frage von xbast1xBatch & Shell8 Kommentare

Hallo zusammen, ich möchte gern von allen AD Usern die E-Mail,Nachname, Vorname auslesen und in eine CSV exportieren. Ich ...

Exchange Server
Self Service für AD Attribute
gelöst Frage von mart1nExchange Server2 Kommentare

Hallo zusammen, ich habe da mal eine Frage zu den Kontoinformationen die man im OWA ändern kann. In der ...

Neue Wissensbeiträge
DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 2 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 6 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...