Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mit einem GPO einem Benutzer Rechte im AD geben

Frage Microsoft Windows Server

Mitglied: ADStarter

ADStarter (Level 1) - Jetzt verbinden

09.11.2010 um 12:12 Uhr, 5054 Aufrufe, 8 Kommentare

Hallo Administrator-Community. Bei meiner letzten Frage konnte mir hier sehr schnell und kompetent geholfen werden. Aus diesem Grund würde ich hier gern ein weiteres Problem von mir schildern. Zuerst muss ich mich einmal entschuldigen, dass die Überschrift nicht ganz mein Problem wiedergibt, aber es war nicht so einfach eine kurze Überschrift zu finden.
Zu meinem Problem. Ich habe verschiedene Aufgaben rund ums AD bekommen um mich ein besseres Verständnis für das gesamte Gebiet zu bekommen. Doch mit den GPO's habe ich immer noch so meine Probleme. So habe ich einfach keine Ahnung wie ich die folgende Aufgabe mit einer Gruppenrichtlinie lösen soll.

Es existiert eine OU mit dem Namen "Obergruppe". User "Alf" gehört zu dieser OU und soll die Möglichkeit haben alle Passwörter der anderen Domain User zurückzusetzen. Außerdem soll User "Alf" die Möglichkeit haben Computeraccounts zu löschen ohne das User "Alf" Account Operator ist.

Also ich stehe irgendwie auf dem Schlauch, jedenfalls habe ich überhaupt keine Ahnung wie man so etwas mit ner Gruppenrichtlinie umsetzt.

Ich könnte User Alf einfach AD Rechte geben oder ihn in eine neue Gruppe setzen die AD-Rechte hat. Aber das ist nicht Sinn der Sache. Es soll ja nur per GPO gelöst werden.

Ich hoffe ihr könnt mir wieder einmal helfen.
Mitglied: holli.zimmi
09.11.2010 um 13:49 Uhr
Hallo ADStarter,

welchen Serverr-Betriebssystem verwendest Du: Windows 2000, Windows2003, 2003 R2, oder Windows 2008, bzw 2008 R2?
Welchen DOMAIN-Level hat die DOMAIN?

Mit freundlichen Grüßen

holli
Bitte warten ..
Mitglied: ADStarter
09.11.2010 um 13:54 Uhr
Arg...da abe ich im Eifer des Gefechts doch glatt die wichtigsten Eckdaten vergessen.
Die Domain läut über 2 DC's , die beide Windows Server 2003 R2 installiert haben. Die Domain läuft auf dem Windows Server 2003 Level.
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
09.11.2010 um 22:33 Uhr
Servus,

dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.

Schau dich auf dieser Seite um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: ADStarter
10.11.2010 um 10:23 Uhr
Das ist doch mal eine klare Aussage.
Danke für die Antwort, ich habe mich auch schon gewundert warum ich wirklich nichts dazu im Web finde.

Bis zum nächsten mal^^
Bitte warten ..
Mitglied: holli.zimmi
16.11.2010 um 14:35 Uhr
Zitat von Yusuf-Dikmenoglu:
Servus,

dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.

Schau dich auf dieser Seite um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße

/ > Yusuf Dikmenoglu

Hallo Yusuf-Dikmenoglu,

ich glaube man kann das auch mit einer GPO lösen:

in der Standard Domain-Policy schaut man nach, wo überall der "Accountmanager" drin steht ( geht glaube auch über Filter ).
Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer neuen GPO und diese verlinkt man auf die entsprechende OU.

Hinweis: Man sollte GPO-Update auf einen kurzen Intervall setzen.

MfG

holli
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
16.11.2010 um 14:58 Uhr
Zitat von holli.zimmi:
> Zitat von Yusuf-Dikmenoglu:
> ----
ich glaube man kann das auch mit einer GPO lösen:

Ich pflege zu sagen: Glauben tut der Pfarrer.

in der Standard Domain-Policy schaut man nach, wo überall der "Accountmanager" drin steht ( geht glaube auch
über Filter ). Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer
neuen GPO und diese verlinkt man auf die entsprechende OU.

Hier kann ich dir nicht recht folgen. Erläutere das doch einmal an einem Beispiel.
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?

Trotzdem bleibe ich dabei: Delegierungen führt man im AD durch und nicht mit GPOs.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: holli.zimmi
16.11.2010 um 15:50 Uhr
Hallo

Hier kann ich dir nicht recht folgen. Erläutere das doch einmal an einem Beispiel.
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?

Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.

Accountoperator = Konten-Operator
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...

Allgemein welche Berechtigungen vergeben:
http://www.gruppenrichtlinien.de/

Trotzdem bleibe ich dabei: Delegierungen führt man im AD durch und nicht mit GPOs.

Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.

Gruß holli
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
16.11.2010 um 23:58 Uhr
Zitat von holli.zimmi:
Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.

Also da liegt der Hase im Pfeffer begraben. Dass ist alles andere, nur keine Delegierung im AD!

Allgemein welche Berechtigungen vergeben:

Allgemein AD-Delegierungen einrichten:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...

Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine
Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.

So ist es, aber wie bereits angemerkt: Mit einer AD-Delegierung hat das nichts zu tun.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Benutzer Rechte auf Netzwerkadaper geben
gelöst Frage von joehuabaWindows Netzwerk5 Kommentare

Hallo Zusammen, ich stehe vielleicht ein bisschen auf dem Schlauch. Wir haben eine Windows Domäne im Einsatz. Gibt es ...

RedHat, CentOS, Fedora
Einem besonderen Benutzer unter CentOS 7 shutdown Recht geben
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOORedHat, CentOS, Fedora2 Kommentare

Moin, weiß jemand wie ich NUR EINEM Benutzer das Recht gebe ohne root Rechte eine Maschine herunter zu fahren? ...

Windows Server
AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben
Frage von conym18Windows Server1 Kommentar

Hallo, wir haben eine AD mit unterschiedlichen Standorten und dadurch unterschiedlichen OUs. Nun soll ein Benutzer erhöhte AD "Bearbeitungsrechte" ...

Sonstige Systeme
DATEV Benutzer nur Leserechte geben
gelöst Frage von ChontaSonstige Systeme2 Kommentare

Hallo, über die Nuzungskontrolle sin die Benutzer angelegt und das anmelden funktioniert auch durch AD Verknüpfung. Aber in der ...

Neue Wissensbeiträge
Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 9 MinutenWindows 10

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 3 StundenMicrosoft Office13 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 9 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office10 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...