5
AD Berechtigungen Feinabstimmung
Hallo,
folgende Frage.
Ich hätte gern paar Gruppen im AD mit Feinabstimmungen der Berechtigungen.
Kommte damit aber net so ganz klar.
Gruppe1: sollte auf den Domänencontroller kommen, kann Benutzer anlegen und Kennwörter zurücksetzen ( Auser von Admins) und kann keine Mitgliedschaft ändern.
Gruppe2: Sollte Pc´s in die Domäne aufnehmen können
Gruppe3. Exchange: sollte Postfächer anlegen können, aber sich kein Vollzugriff geben können.
Ist das möglich??
Grüße.
folgende Frage.
Ich hätte gern paar Gruppen im AD mit Feinabstimmungen der Berechtigungen.
Kommte damit aber net so ganz klar.
Gruppe1: sollte auf den Domänencontroller kommen, kann Benutzer anlegen und Kennwörter zurücksetzen ( Auser von Admins) und kann keine Mitgliedschaft ändern.
Gruppe2: Sollte Pc´s in die Domäne aufnehmen können
Gruppe3. Exchange: sollte Postfächer anlegen können, aber sich kein Vollzugriff geben können.
Ist das möglich??
Grüße.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 360603
Url: https://administrator.de/forum/ad-berechtigungen-feinabstimmung-360603.html
Ausgedruckt am: 21.04.2025 um 20:04 Uhr
5 Kommentare
Neuester Kommentar
Hi,
ja, ist möglich.
Schau mal und Delegierung von Berechtigungen im AD.
Bei Exchange gibt es sowas auch. Nennt sich dort "Rollen".
E.
ja, ist möglich.
Schau mal und Delegierung von Berechtigungen im AD.
Bei Exchange gibt es sowas auch. Nennt sich dort "Rollen".
E.
Hallo Emeriks,
habe mich mal etwas im AD damit reingefuchst.
Auf den ersten Blick nicht schwer.
Wenn ich das richtig verstehe, spielt sich das alles nur in der OU ab und wird eventuell nach unten vererbt?
Jetzt die Frage für den "User" der das Recht hat zb. Benutzer anzulegen.
Wenn ich Ihn auf den DC lasse, sieht er alle OU? Oder nur die mit Berechtigung?
Wenn er alle sieht, dürfte er doch trotzdem nur auf seiner mit Berechtigung was machen dürfen.
Wie sieht das bei Tools aus? Hier kann man sicher auf OU´s beschränken.
Wichtigste Frage:
Kann er bei Usern in der Ou beliebig User in Gruppen aufnehmen? Wenn ja, was ist mit der Admingruppe? Ich gehe doch Stark davon aus, das nur ein Mitglied von " Domänen Administratoren" auch die Rolle vergeben darf?
habe mich mal etwas im AD damit reingefuchst.
Auf den ersten Blick nicht schwer.
Wenn ich das richtig verstehe, spielt sich das alles nur in der OU ab und wird eventuell nach unten vererbt?
Jetzt die Frage für den "User" der das Recht hat zb. Benutzer anzulegen.
Wenn ich Ihn auf den DC lasse, sieht er alle OU? Oder nur die mit Berechtigung?
Wenn er alle sieht, dürfte er doch trotzdem nur auf seiner mit Berechtigung was machen dürfen.
Wie sieht das bei Tools aus? Hier kann man sicher auf OU´s beschränken.
Wichtigste Frage:
Kann er bei Usern in der Ou beliebig User in Gruppen aufnehmen? Wenn ja, was ist mit der Admingruppe? Ich gehe doch Stark davon aus, das nur ein Mitglied von " Domänen Administratoren" auch die Rolle vergeben darf?
Moin.
Alle. Das AD ist per Default für alle User lesbar. Wenn du das ändern möchtest, musst du den Active Directory Object List Mode aktivieren.
Wobei ich den User erst gar nicht an DC lassen würde. Stattdessen RSAT auf seiner Workstation installieren und ihn von dort aus machen lassen.
Cheers,
jsysde
Alle. Das AD ist per Default für alle User lesbar. Wenn du das ändern möchtest, musst du den Active Directory Object List Mode aktivieren.
Wenn er alle sieht, dürfte er doch trotzdem nur auf seiner mit Berechtigung was machen dürfen.
So isses.Kann er bei Usern in der Ou beliebig User in Gruppen aufnehmen? Wenn ja, was ist mit der Admingruppe? Ich gehe doch Stark davon aus, das nur ein Mitglied von " Domänen Administratoren" auch die Rolle vergeben darf?
Wenn du ihn nur auf OU-Ebene berechtigst, kann er nur Gruppenmitgliedschaften der Gruppen pflegen, die innerhalb der ihm zugewiesenen OU (inkl. Sub-OUs, Vererbung und so) liegen. Sofern du deine "Domain Admins" Gruppe nicht dorhin verschoben, kann er sich auch nicht selbst dort hinzufügen.Wobei ich den User erst gar nicht an DC lassen würde. Stattdessen RSAT auf seiner Workstation installieren und ihn von dort aus machen lassen.
Cheers,
jsysde
Jetzt die Frage für den "User" der das Recht hat zb. Benutzer anzulegen.
Wenn ich Ihn auf den DC lasse, sieht er alle OU? Oder nur die mit Berechtigung?
Man läst einen User nicht "auf den DC". Nicht ohne triftigen Grund. Dafür gibt es RSAT.Wenn ich Ihn auf den DC lasse, sieht er alle OU? Oder nur die mit Berechtigung?
Wenn er alle sieht, dürfte er doch trotzdem nur auf seiner mit Berechtigung was machen dürfen.
Ja, na klar.Wie sieht das bei Tools aus? Hier kann man sicher auf OU´s beschränken.
Ja, z.B. kannst Du eine eigene angepasst MMC erstellen.z.B. hier beschrieben: https://social.technet.microsoft.com/wiki/contents/articles/2816.how-to- ...
Das geht auch mit den MMC für AD.
Kann er bei Usern in der Ou beliebig User in Gruppen aufnehmen?
Der Benutzer kann nur jene Objekte bearbeiten, für welche er das Schreibrecht hat.Der Benutzer kann nur jene Eigenschaften von Objekten bearbeiten, für welche er das Schreibrecht hat.
Wenn der Benutzer also Benutzerobjekte bearbeiten darf, dann kann er keine Gruppenmitgliedschaften ändern. (siehe Hinweis unten)
Wenn ja, was ist mit der Admingruppe? Ich gehe doch Stark davon aus, das nur ein Mitglied von " Domänen Administratoren" auch die Rolle vergeben darf?
Wenn Du den Benutzer für diese Gruppe das Recht erteilst, die Gruppenmitglieder zu bearbeiten, dann kann er das. Wenn nicht, dann nicht.Beachte:
Gruppenmitglieder ist ein Attribut von Gruppen ("member")! Das Attribut "memberOf" von Benutzer und Gruppen kann man nicht direkt bearbeiten. Dieses wird berechnet.
Wenn man also einen Benutzer zu einer Gruppen hinzufügen will/soll, dann benötigt man das Schreibrecht für das Attribut "member" dieser betreffenden Gruppe. Für den Benutzer benötigt man dafür keine Schreibrechte.
Danke,
Erste Tests waren positiv.
Muss mich jetzt noch mit den tiefen Berechtigungen und Exchange Rollen beschäftigen.
Erste Tests waren positiv.
Muss mich jetzt noch mit den tiefen Berechtigungen und Exchange Rollen beschäftigen.
