saesch82
Goto Top

Verbieten Active Directory Objekte zu bearbeiten

Hallo Admins,

ich möchte gerne eine Reihe von Accounts haben, welche in der Lage sind Clients in die Domäne zu heben.

Ich habe verschiedene OUs (Zweigstellen) und in jeder OU soll ein anderer Account diese Befähigung haben. Des Weiteren dürfen die Account nicht in die anderen OUs reinarbeiten.

Dies sind die Rahmenbedingungen. Soweit funktioniert das auch. Gelöst über GPOs und dedizierte Accounts, die als local Admin funktionieren.

Ich habe aber noch das Problem, dass die Accounts AD Objekte bearbeiten können. OUs selber nicht. Hier bekommt man die Fehlermeldung, dass die Berechtigung fehlt. (So soll es sein)

Die Accounts sind Mitglied in zwei Gruppen: Eine Sammelgruppe und Domänen-Benutzer. Die Gruppe, Global Security, dient dazu, dass die einzelnen Accounts über die GPO als local Admin fungieren und Clients in die Domäne heben können.

Die Gruppe ist Mitglied der Gruppe Konten-Operatoren.


Ich habe alle Berechtigungen geprüft und die sagen aus, dass Computer Accounts angelegt und gelöscht werden dürfen. Ansonsten ist nichts gesetzt. Auch die effektiven Berechtigungen zeigen im "schlimmsten Fall" nur lesen.

Als Anleitung habe ich diese beiden Seiten genommen:

http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-adminis ...
http://networkadminkb.com/KB/a75/how-to-allow-specific-users-to-add-wor ...

Vielleicht hat ja einer von Euch eine Idee?

Besten Dank im Voraus.

Grüße

Saesch

Content-Key: 253790

Url: https://administrator.de/contentid/253790

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: Hyper-V
Hyper-V 04.11.2014 aktualisiert um 16:18:38 Uhr
Goto Top
1) Im Active Directory eine neue Gruppe für die AD Berechtigungen erstellen. (Für jede OU eine Gruppe)
2) Rechtsklick auf die zu verwaltende OU --> "Objektverwaltung zuweisen"
3) Benötigte Rechte der erstellen Gruppe zuweisen
4) Benutzer in die erstellte Gruppe hinzufügen

Ich rate dir allerdings davon ab, die Objektverwaltungen für die zu verwaltende Gruppe direkt an die User zuzuweisen - die ganzen Sicherheitsberechtigungen werden dadurch schwer nachvollziehbar.
Mitglied: saesch82
saesch82 05.11.2014 um 16:04:44 Uhr
Goto Top
Hi Hyper-V

Danke für deine Antwort.

Ich konnte anscheint das Problem lösen:

Ich habe die "Sammelgruppe" aus den Konten-Operatoren raus genommen und ich konnte damit das gewünschte Ergebnis erzielen.

Es wird gerade geprüft, ob alles klappt.....