4
Active Directory Berechtigungen
Hallo zusammen
Ich versuche, eine AD-Gruppe so zu berechtigen, dass sie im Active Directory auf bestimmten OUs rekursiv Computerobjekte verschieben kann.
Dazu gibt es Anleitungen wie z. Bsp. diese.
Das ganze scheint relativ einfach und ich kann sämtliche Schritte wie in der Anleitung beschrieben ausführen.
Leider ist es mir trotzdem nicht möglich, mit der berechtigten Gruppe Computerobjekte zu verschieben.
Es erscheint weiterhin eine Meldung, dass das Objekt nicht verschoben werden kann (Windows cannot move object "Name" because: Access denied)
Leidglich wenn ich der Gruppe die Berechtigung "Full Control" auf die OU erteile, lassen sich die Objekte verschieben.
Woran kann das liegen?
Gruss
Eraiser
Ich versuche, eine AD-Gruppe so zu berechtigen, dass sie im Active Directory auf bestimmten OUs rekursiv Computerobjekte verschieben kann.
Dazu gibt es Anleitungen wie z. Bsp. diese.
Das ganze scheint relativ einfach und ich kann sämtliche Schritte wie in der Anleitung beschrieben ausführen.
Leider ist es mir trotzdem nicht möglich, mit der berechtigten Gruppe Computerobjekte zu verschieben.
Es erscheint weiterhin eine Meldung, dass das Objekt nicht verschoben werden kann (Windows cannot move object "Name" because: Access denied)
Leidglich wenn ich der Gruppe die Berechtigung "Full Control" auf die OU erteile, lassen sich die Objekte verschieben.
Woran kann das liegen?
Gruss
Eraiser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4718245340
Url: https://administrator.de/contentid/4718245340
Printed on: April 27, 2024 at 19:04 o'clock
4 Comments
Latest comment
Hi,
Du musst das für beide OU's machen.
Am Rande:
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Du musst das für beide OU's machen.
Am Rande:
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Zitat von @emeriks:
Am Rande:
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Falls es darum gehen sollte, Computerobjekte aus dem Container "Computers" zu verschieben, dann ändere doch einfach das Verfahren.
Schreibzugriff verweigern auf "Computers". Jetzt kann man einen Computer nur dann der Domäne beitreten, wenn man vorher in einer OU ein Computerobjekt dafür erstellt hat.
E.
Oder mit "redircmp" eine neue Standard-OU für Computer festlegen.
Zur Frage des TE:
IIRC muss das Recht für Löschen in der Quell-OU und das Recht für Erstellen in der Ziel-OU delegiert werden
Zitat von @chaot1coz:
Oder mit "redircmp" eine neue Standard-OU für Computer festlegen.
Ja, geht auch. Allerdings kann dann weiterhin Hinz und Kunz Computer der Domäne beitreten, solange man nicht auch das explizit einschränkt.Oder mit "redircmp" eine neue Standard-OU für Computer festlegen.
Ohne das können wirklich nur noch jene Benutzer Computer beitreten lassen, welche für das entsprechende Computerobjekt entsprechende Rechte haben.
Es geht mir hier nicht um die OU "Computers", in welcher neue Rechner standardmässig hinzugefügt werden, sondern um eine separate OU in der alle Computerobjekte (verteilt über mehrere unter-OUs) sind.
Das die Rechte jeweils für beide OUs angepasst werden müssen, ist mir bewusst.
Ich habe die Anpassungen jeweils auf der "obersten" OU gemacht, gemäss meiner Kontrolle werden die Berechtigungen jeweils nach unten vererbt.
Aber auch wenn ich sie test halber direkt auf den jeweiligen OUs gemacht habe, wurden fehlende Rechte gemeldet, weshalb ich ein Vererbungs-Problem ausschliesse (Vererbung ist auch nicht deaktiviert auf den entsprechenden OUs).
Mit der im ersten Beitrag verlinkten Anleitung werden beide Rechte (löschen und erstellen des Objekts) auf die OUs erteilt. Das ist auch korrekt so, man soll in beide Richtungen verschieben können.
Das die Rechte jeweils für beide OUs angepasst werden müssen, ist mir bewusst.
Ich habe die Anpassungen jeweils auf der "obersten" OU gemacht, gemäss meiner Kontrolle werden die Berechtigungen jeweils nach unten vererbt.
Aber auch wenn ich sie test halber direkt auf den jeweiligen OUs gemacht habe, wurden fehlende Rechte gemeldet, weshalb ich ein Vererbungs-Problem ausschliesse (Vererbung ist auch nicht deaktiviert auf den entsprechenden OUs).
Mit der im ersten Beitrag verlinkten Anleitung werden beide Rechte (löschen und erstellen des Objekts) auf die OUs erteilt. Das ist auch korrekt so, man soll in beide Richtungen verschieben können.
