Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mit einem GPO einem Benutzer Rechte im AD geben

Frage Microsoft Windows Server

Mitglied: ADStarter

ADStarter (Level 1) - Jetzt verbinden

09.11.2010 um 12:12 Uhr, 4963 Aufrufe, 8 Kommentare

Hallo Administrator-Community. Bei meiner letzten Frage konnte mir hier sehr schnell und kompetent geholfen werden. Aus diesem Grund würde ich hier gern ein weiteres Problem von mir schildern. Zuerst muss ich mich einmal entschuldigen, dass die Überschrift nicht ganz mein Problem wiedergibt, aber es war nicht so einfach eine kurze Überschrift zu finden.
Zu meinem Problem. Ich habe verschiedene Aufgaben rund ums AD bekommen um mich ein besseres Verständnis für das gesamte Gebiet zu bekommen. Doch mit den GPO's habe ich immer noch so meine Probleme. So habe ich einfach keine Ahnung wie ich die folgende Aufgabe mit einer Gruppenrichtlinie lösen soll.

Es existiert eine OU mit dem Namen "Obergruppe". User "Alf" gehört zu dieser OU und soll die Möglichkeit haben alle Passwörter der anderen Domain User zurückzusetzen. Außerdem soll User "Alf" die Möglichkeit haben Computeraccounts zu löschen ohne das User "Alf" Account Operator ist.

Also ich stehe irgendwie auf dem Schlauch, jedenfalls habe ich überhaupt keine Ahnung wie man so etwas mit ner Gruppenrichtlinie umsetzt.

Ich könnte User Alf einfach AD Rechte geben oder ihn in eine neue Gruppe setzen die AD-Rechte hat. Aber das ist nicht Sinn der Sache. Es soll ja nur per GPO gelöst werden.

Ich hoffe ihr könnt mir wieder einmal helfen.
Mitglied: holli.zimmi
09.11.2010 um 13:49 Uhr
Hallo ADStarter,

welchen Serverr-Betriebssystem verwendest Du: Windows 2000, Windows2003, 2003 R2, oder Windows 2008, bzw 2008 R2?
Welchen DOMAIN-Level hat die DOMAIN?

Mit freundlichen Grüßen

holli
Bitte warten ..
Mitglied: ADStarter
09.11.2010 um 13:54 Uhr
Arg...da abe ich im Eifer des Gefechts doch glatt die wichtigsten Eckdaten vergessen.
Die Domain läut über 2 DC's , die beide Windows Server 2003 R2 installiert haben. Die Domain läuft auf dem Windows Server 2003 Level.
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
09.11.2010 um 22:33 Uhr
Servus,

dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.

Schau dich auf dieser Seite um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: ADStarter
10.11.2010 um 10:23 Uhr
Das ist doch mal eine klare Aussage.
Danke für die Antwort, ich habe mich auch schon gewundert warum ich wirklich nichts dazu im Web finde.

Bis zum nächsten mal^^
Bitte warten ..
Mitglied: holli.zimmi
16.11.2010 um 14:35 Uhr
Zitat von Yusuf-Dikmenoglu:
Servus,

dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.

Schau dich auf dieser Seite um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße

/ > Yusuf Dikmenoglu

Hallo Yusuf-Dikmenoglu,

ich glaube man kann das auch mit einer GPO lösen:

in der Standard Domain-Policy schaut man nach, wo überall der "Accountmanager" drin steht ( geht glaube auch über Filter ).
Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer neuen GPO und diese verlinkt man auf die entsprechende OU.

Hinweis: Man sollte GPO-Update auf einen kurzen Intervall setzen.

Mit freundlichen Grüßen

holli
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
16.11.2010 um 14:58 Uhr
Zitat von holli.zimmi:
> Zitat von Yusuf-Dikmenoglu:
> ----
ich glaube man kann das auch mit einer GPO lösen:

Ich pflege zu sagen: Glauben tut der Pfarrer.

in der Standard Domain-Policy schaut man nach, wo überall der "Accountmanager" drin steht ( geht glaube auch
über Filter ). Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer
neuen GPO und diese verlinkt man auf die entsprechende OU.

Hier kann ich dir nicht recht folgen. Erläutere das doch einmal an einem Beispiel.
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?

Trotzdem bleibe ich dabei: Delegierungen führt man im AD durch und nicht mit GPOs.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: holli.zimmi
16.11.2010 um 15:50 Uhr
Hallo

Hier kann ich dir nicht recht folgen. Erläutere das doch einmal an einem Beispiel.
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?

Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.

Accountoperator = Konten-Operator
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...

Allgemein welche Berechtigungen vergeben:
http://www.gruppenrichtlinien.de/

Trotzdem bleibe ich dabei: Delegierungen führt man im AD durch und nicht mit GPOs.

Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.

Gruß holli
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
16.11.2010 um 23:58 Uhr
Zitat von holli.zimmi:
Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.

Also da liegt der Hase im Pfeffer begraben. Dass ist alles andere, nur keine Delegierung im AD!

Allgemein welche Berechtigungen vergeben:

Allgemein AD-Delegierungen einrichten:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...

Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine
Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.

So ist es, aber wie bereits angemerkt: Mit einer AD-Delegierung hat das nichts zu tun.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(1)

Erfahrungsbericht von ashnod zum Thema Internet ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...