Active Directory Berechtigungen
Hallo zusammen
Ich versuche, eine AD-Gruppe so zu berechtigen, dass sie im Active Directory auf bestimmten OUs rekursiv Computerobjekte verschieben kann.
Dazu gibt es Anleitungen wie z. Bsp. diese.
Das ganze scheint relativ einfach und ich kann sämtliche Schritte wie in der Anleitung beschrieben ausführen.
Leider ist es mir trotzdem nicht möglich, mit der berechtigten Gruppe Computerobjekte zu verschieben.
Es erscheint weiterhin eine Meldung, dass das Objekt nicht verschoben werden kann (Windows cannot move object "Name" because: Access denied)
Leidglich wenn ich der Gruppe die Berechtigung "Full Control" auf die OU erteile, lassen sich die Objekte verschieben.
Woran kann das liegen?
Gruss
Eraiser
Ich versuche, eine AD-Gruppe so zu berechtigen, dass sie im Active Directory auf bestimmten OUs rekursiv Computerobjekte verschieben kann.
Dazu gibt es Anleitungen wie z. Bsp. diese.
Das ganze scheint relativ einfach und ich kann sämtliche Schritte wie in der Anleitung beschrieben ausführen.
Leider ist es mir trotzdem nicht möglich, mit der berechtigten Gruppe Computerobjekte zu verschieben.
Es erscheint weiterhin eine Meldung, dass das Objekt nicht verschoben werden kann (Windows cannot move object "Name" because: Access denied)
Leidglich wenn ich der Gruppe die Berechtigung "Full Control" auf die OU erteile, lassen sich die Objekte verschieben.
Woran kann das liegen?
Gruss
Eraiser
Please also mark the comments that contributed to the solution of the article
Content-Key: 4718245340
Url: https://administrator.de/contentid/4718245340
Printed on: April 27, 2024 at 19:04 o'clock
4 Comments
Latest comment
Hi,
Du musst das für beide OU's machen.
Am Rande:
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Du musst das für beide OU's machen.
Am Rande:
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Zitat von @emeriks:
Am Rande:
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Oder mit "redircmp" eine neue Standard-OU für Computer festlegen.
Zur Frage des TE:
IIRC muss das Recht für Löschen in der Quell-OU und das Recht für Erstellen in der Ziel-OU delegiert werden
Zitat von @chaot1coz:
Oder mit "redircmp" eine neue Standard-OU für Computer festlegen.
Ja, geht auch. Allerdings kann dann weiterhin Hinz und Kunz Computer der Domäne beitreten, solange man nicht auch das explizit einschränkt.Oder mit "redircmp" eine neue Standard-OU für Computer festlegen.
Ohne das können wirklich nur noch jene Benutzer Computer beitreten lassen, welche für das entsprechende Computerobjekt entsprechende Rechte haben.