Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Objektverwaltung AD (Computerkonten)

Frage Microsoft Windows Server

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

22.02.2010 um 12:56 Uhr, 13595 Aufrufe, 7 Kommentare

1. Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
2. Wie entfernt man eine Objektverwaltung auf Domänenebene?

Hallo,

ich habe ein Skript geschrieben (Batch), das eine beliebige Aktion einmal ausführt und anschließend das Computerkonto verschiebt. Damit kann ich manuell alle Rechner in eine bestimmte OU verschieben, auf welche das erwähnte Skript per Gruppenrichtlinie als Startskript ausgeführt wird, wonach die Rechner - durch Abarbeitung der Batch - automatisch wieder zurück in die alte OU verschoben werden.

Kurzum, auf allen Rechner wird eine Aktion genau nur einmal ausgeführt.

Funktioniert soweit ganz gut, nur leider habe ich noch ein Problem:
der Befehl dsmove funktioniert nur, wenn er mit den entsprechenden Rechten ausgeführt wird. Wenn ich die Batch als Admin ausführe, oder Benutzername und Kennwort in der Batch mitgebe, dann klappt alles, ansonsten schlägt das Verschieben fehl. Also muss ich entweder den Computerkonten das Recht zuweisen, Computerkonten in bestimmten OUs zu Verwalten, oder ich lege einen extra Benutzer an, der nichts kann außer Computerkonten in bestimmten OUs verwalten.

Leider ist in der Objektverwaltung im AD ein solcher Task (beispielsweise Computerkonten verwalten) nicht vordefiniert. Ich habe selbst mal etwas ausprobiert und dem neu erstellten Testbenutzer das Recht gegeben Computerobjekte zu erstellen und löschen, aber in der letzten Maske des Assistenten tauchen dann nochmal Berechtigungen auf, mit denen ich dann wenig anfangen kann. Hier werde ich aufgefordert, Berechtigungen zu setzen, wobei die Objekte "Computer" gar nicht mehr auftauchen. Stattdessen kann ich beispielsweise das Recht lesen/schreiben erteilen, was sich dann aber gleich auf solche Attribute auswirkt, die ich gar nicht miteinbezogen haben möchte (Postfachspeicher etc.).

Daher nochmal in aller Kürze die Frage:
Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?


Frage 2: Über eine Microsoft-Seite wurde der Vorgang für die Verwaltung von Computerkonten angeführt. Dabei ging es um die Erstellung und Löschung von Konten, und der Vorgang der Objektverwaltung wurde in der Erläuterung direkt auf der Domänenebene ausgeführt (nicht auf einer untergeordneten OU). Leider sieht man direkt auf der Domäne keine Lasche "Sicherheit", daher weiß ich jetzt nicht, wie ich das Testkonto hier wieder entfernen kann.

Viele Grüße an Euch alle,
die Kaffeepause

PS: Wen es interessiert:
Die Batch ermittelt über dsquery das eigene Computerkonto und schreibt das Ergebnis in eine temporäre Textdatei.
Diese wird im zweiten Schritt ausgewertet (über findstr wird nach verschiedenen Begriffen gesucht) und Variablen gefüllt (wie Standort).
Im dritten Schritt wird das Computerkonto via dsmove und mit Hilfe der Variablen verschoben.
Nur wenn alle Schritte erfolgreich waren (Prüfung über die Variable errorlevel), wird die anfangs erwähnte einmalige Aktion ausgeführt.

01.
DSQUERY computer -name %computername%>%temp%\dsquery.txt 
02.
FINDSTR /C:"London" "%temp%\dsquery.txt" 
03.
IF NOT errorlevel 1 SET standort=London 
04.
DSMOVE "CN=%computername%,OU=Umstellung,OU=%standort%,DC=firma" -newparent "OU=%standort%,DC=firma" 
05.
IF %errorlevel%==0 GOTO aktion 
06.
GOTO ende
Mitglied: Kaffeepause
22.02.2010 um 13:10 Uhr
Hallo,

Frage Zwei hat sich erledigt. Die Lasche "Sicherheit" ist doch da. Hab anscheinend vorhin mehrmals nicht richtig geguckt?

Viele Grütze,
Kaffeepause
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 13:26 Uhr
dsmove funktioniert dann, wenn der Benutzer Mitglied der Builtin-Gruppe "Konten-Operatoren" ist.

Ich könnte
a) einen Benutzer anlegen, der Mitglied der Konten-Operatoren ist und in der Batch Benutzername/Passwort hinterlegen (ist dann aber Klartext...)
b) die Domänencomputer zu der Gruppe der Konten-Operatoren hinzufügen (die Batch wird als Startskript ja unter der Kennung des startenden Computerkontos ausgeführt

Momentan neige ich zu B.

Weiß trotzdem jemand die genauen Rechte (nicht mehr und nicht weniger Rechte), die man braucht, um mit dsmove ein Computerkonto zu verschieben?

Viele Grüße,
Kaffeepause
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
22.02.2010 um 13:48 Uhr
Servus,

welche Berechtigungen zum verschieben eines Computerkontos benötigt werden, erfährst du aus dem folgenden Artikel:

[LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent]
http://blog.dikmenoglu.de/Der+Objektdelegierungsassistent.aspx


Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 15:51 Uhr
Hi,

ja, da hätt ich auch noch nachschauen können - dein Blog ist mir bekannt (hervorragende Seite!).

Das, was du dort beschreibst, funktioniert zunächst super.
Template erweitern, dann dieses Template in der Objektverwaltung einsetzen.

Bei mir - in Zusammenhang mit dem dsmove-Befehl - scheint es jedoch nicht zu funktionieren.

  • Als errorlevel für den dsmove-Befehl (der - da er als Startskript aufgerufen wird - mit den Rechten des aktuell startenden Computerkontos ausgeführt wird) erhalte ich die abstruse Zahl -2147024891 (Zugriff verweigert).
  • Gebe ich in der Batchdatei Benutzernamen und Passwort für ein Konto mit, dem ich vorher über die Objektverwaltung die Rechte Computer zu verschieben erteilt habe, erscheint die selbe Fehlermeldung (Zugriff verweigert).
  • Führe ich die Batch entweder als Domänen-Admin aus, oder gebe ich Benutzername/Passwort des Domänen-Admins in der Batch mit, dann funktioniert dsmove (errorlevel 0, dsmove erfolgreich).

Im AD habe ich auch schon die Sicherheit auf die OUs und untergeordneten OUs überprüft: dort steht unter anderem, dass dieser angelegte Benutzer und auch die Comänencomputer das Recht haben, Computerkonten zu löschen/erstellen (+ einige Leserechte mehr). Die Zuweisung über die Objektverwaltung hat also funktioniert. Irgendwie scheint noch ein Recht zu fehlen?

Der - zu Testzwecken angelegte - Benutzer ist mittlerweile Mitglied der Gruppen Domänen-Benutzer und Konten-Operatoren. Was will er denn noch?

Viele Grüße,
dein Directory-Blog ist super!
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 16:15 Uhr
So, noch was ausprobiert:
ich hab die AD-Konsole als Testbenutzer (der, dem die Verwaltungsrechte für Computerkonten erteilt wurden) gestartet und habe dort - per Drag & Drop versucht, ein Computerkonto zu verschieben. Das hat auch nicht funktioniert (Zugriff verweigert).

Es scheinen noch Rechte zu fehlen. Ich weiß nur nicht welche.

Viele Grüße,
die Kaffeepause
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
22.02.2010 um 16:55 Uhr
Hast du auch das Template auf dem Quell- und ZIEL-Container ausgeführt, so wie es in dem von mir verlinkten Artikel beschrieben ist?


Gruß, Yusuf

P.S. Vielen Dank für die Blumen
Bitte warten ..
Mitglied: Kaffeepause
23.02.2010 um 15:47 Uhr
Tut leider immer noch nicht.

Ich hatte das Template zunächst nur auf dem übergeordneten Container ausgeführt, hab aber in den Sicherheitseinstellungen der untergeordneten OUs gesehen (effektive Berechtigungen), dass solche Rechte wie Computerkonto löschen/erstellen dort auftauchten. Daher hatte ich das Template nicht explizit noch einmal auf Quell-/Zielcontainer angewendet.

Jetzt hab ich das nochmal getan, hat aber momentan noch nichts gebracht.

AD-Struktur
<Firma>\<Standort>\Rechner\<Gerätetyp>\Umstellung

In der OU Rechner sind zwei Unter-OUs (Notebooks/Workstations). Dort sind alle Rechner des jeweiligen Standorts drin. Die einmalige Batch wird als Startskript auf der OU "Umstellung" ausgeführt und hat zur Folge, dass die Rechner einfach eine OU nach oben verschoben werden (sollen).

Über das Template habe ich erst der Gruppe "Domänencomputer" die Rechte zum Verschieben von Computerkonten gegeben (und zwar explizit auf jede betroffene OU, auch wenn die untereinander verschachtelt sind und das Recht somit vererbt werden müsste) und dann nochmal das gleich mit dem zu Testzwecken angelegten Benutzeraccount.

Das Skript ist nach wie vor nicht in der Lage, ein Computerkonto über dsmove zu verschieben (-2147024891, Zugriff verweigert). Aber auch wenn ich das Active Directory (ausführen als...) unter der Benutzerkennung dieses Testkontos ausführe und dann einen Computer per Drag&Drop verschieben will, schlägt der Vorgang fehl (Zugriff verweigert). Führe ich das Skript als Domänenadmin aus, oder gebe im Skript Benutzername und Passwort des Domänenadmins mit, dann funktioniert alles.

Insofern sieht es für mich immer noch so aus, als würde da ein Recht fehlen.

Blöde Frage: Klappt es denn bei dir??

Noch ein paar blabla-Details:
Windows Server 2003, Domänen- und Gesamtfunktionsebene Windows Server 2003, eine einzige Domäne, alle Clients XP SP3

Grüße,
Kaffeepause
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Schemaerweiterung - Office 365 - Exchange Online mit lokalem AD

Frage von chb1982 zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...