Active Directory Delegation und erlauben von Replikation?
Hallo Leute,
bin aktuell an einem Delegationskonzept für ne Windows Domäne dran.
z.B. Tier Gruppe 1 darf Passwörter und Gesperrtstatus zurücksetzten.
funktioniert an sich schon perfekt!
Jedoch würde ich auch gerne haben, dass die leute ne manuelle Replikation der DC´s ausführen dürfen.
D.h. ich stelle ihnen ein script zur Verfügung, mit welchem Sie die DC´s repliziern lassen können!
Sie sind aktuell einfache DomänenBenutzer, ich will Sie nicht unter EnterpriseAdmins haben, da sie ja sonst wieder alles düfen oder??
Was muss ich machen, dass die Benutzer der Tier Gruppe 1, die Replikation manuell anschmeißen dürfen?
(Aktuelle Fehlermeldung bei mit SyncAll:
Fehler beim Austellen der Replikation: 8453 (0x2105):
Der Replikationszugriff wurde verweigert. usw...) )
Könnt ihr mir hier helfen, wie ich sowas umsetzten kann?
Schöne Grüße
Michael Pinker
bin aktuell an einem Delegationskonzept für ne Windows Domäne dran.
z.B. Tier Gruppe 1 darf Passwörter und Gesperrtstatus zurücksetzten.
funktioniert an sich schon perfekt!
Jedoch würde ich auch gerne haben, dass die leute ne manuelle Replikation der DC´s ausführen dürfen.
D.h. ich stelle ihnen ein script zur Verfügung, mit welchem Sie die DC´s repliziern lassen können!
Sie sind aktuell einfache DomänenBenutzer, ich will Sie nicht unter EnterpriseAdmins haben, da sie ja sonst wieder alles düfen oder??
Was muss ich machen, dass die Benutzer der Tier Gruppe 1, die Replikation manuell anschmeißen dürfen?
(Aktuelle Fehlermeldung bei mit SyncAll:
Fehler beim Austellen der Replikation: 8453 (0x2105):
Der Replikationszugriff wurde verweigert. usw...) )
Könnt ihr mir hier helfen, wie ich sowas umsetzten kann?
Schöne Grüße
Michael Pinker
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155552
Url: https://administrator.de/contentid/155552
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Das sollte gehen wenn Die User die das dürfen sollen Mitglieder der Organisations Admins sind, aber lieber noch mal nachgoogeln, bin mir da jetzt nicht ganz sicher.
Aber wenn diese User die Replikation anstoßen dürfen haben sie zwangslaüfig auch noch andere Rechte die se wahrscheinlich lieber nicht haben sollten.
schau mal hier: http://www.tecchannel.de/server/windows/465870/sicherheitskonfiguration ...
Aber wenn diese User die Replikation anstoßen dürfen haben sie zwangslaüfig auch noch andere Rechte die se wahrscheinlich lieber nicht haben sollten.
schau mal hier: http://www.tecchannel.de/server/windows/465870/sicherheitskonfiguration ...
Servus,
das ist ja gerade das Besondere am "Active Directory". Das man eben gezielt nur ein einzelnes Recht an jemanden delegieren kann,
ohne ihn zu einer der BuiltIn-Gruppen hinzuzufügen und somit letzten Endes dem Benutzer zu viel Rechte gibt.
Selbstverständlich solltest du die Gruppe "Organisations Admins" meiden. Damit schießt du ja mit "Kanonen auf Spatzen".
Und im Gegenteil, dadurch entsteht die Gefahr, dass derjenige der zu dieser Gruppe hinzugefügt wird, wissentlich oder unwissentlich auch noch Schaden anrichtet.
Evtl. sogar irreparabel.
Daher solltest du lediglich das Recht delegieren, das tatsächlich benötigt wird.
Das was du suchst, findest du in dem folgenden Whitepaper:
[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...
Halte mindestens nach diesen "Extended Rights" Ausschau:
Replication Synchronization
Replicating Directory Changes
Replicating Directory Changes All
Dann solltest du diese mit DSACLS (auch wegen der Dokumentation) an eine entsprechende Gruppe (und nicht an einen einzelnen Benutzer) delegieren.
Die Rechte musst du für jede *Verzeichnispartition* delegieren, zumindest die, für die der Benutzer die Replikation anstoßen soll.
Viele Grüße
/ > Yusuf Dikmenoglu
P.S. Ich habe mich kurzerhand dazu entschloßen, in Kürze darüber zu schreiben.
das ist ja gerade das Besondere am "Active Directory". Das man eben gezielt nur ein einzelnes Recht an jemanden delegieren kann,
ohne ihn zu einer der BuiltIn-Gruppen hinzuzufügen und somit letzten Endes dem Benutzer zu viel Rechte gibt.
Selbstverständlich solltest du die Gruppe "Organisations Admins" meiden. Damit schießt du ja mit "Kanonen auf Spatzen".
Und im Gegenteil, dadurch entsteht die Gefahr, dass derjenige der zu dieser Gruppe hinzugefügt wird, wissentlich oder unwissentlich auch noch Schaden anrichtet.
Evtl. sogar irreparabel.
Daher solltest du lediglich das Recht delegieren, das tatsächlich benötigt wird.
Das was du suchst, findest du in dem folgenden Whitepaper:
[Download details: Best Practices for Delegating Active Directory Administration Appendices]
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=29dbae88-a2 ...
Halte mindestens nach diesen "Extended Rights" Ausschau:
Replication Synchronization
Replicating Directory Changes
Replicating Directory Changes All
Dann solltest du diese mit DSACLS (auch wegen der Dokumentation) an eine entsprechende Gruppe (und nicht an einen einzelnen Benutzer) delegieren.
Die Rechte musst du für jede *Verzeichnispartition* delegieren, zumindest die, für die der Benutzer die Replikation anstoßen soll.
Viele Grüße
/ > Yusuf Dikmenoglu
P.S. Ich habe mich kurzerhand dazu entschloßen, in Kürze darüber zu schreiben.