deflos
Goto Top

AD-User von Personalabteilung verwaltet, aber nicht alle User sind editierbar, warum?

Hallo Leute,

mal wieder ein Problem, und ich verstehe nicht warum...

Kurzbeschreibung:
Ein Mitglied der Personalabteilung soll Userdatem im AD Pflegen. Eine SIcherheitsgruppe die zu diesem Vorgang berechtigt existiert. Manche User lassen sich auch editieren, aber manche auch nicht obwohl alle User in dieser OU sind...?


Im Detail.
Folgendes dsacls.exe script gewährt begrenzten Zugriff auf bestimmt AD eigenschaften der User:
SET DCROOT="OU=Personal,DC=domain,DC=local"  
SET SG="Personalverwaltung"  

dsacls %DCROOT% /I:S /G %SG%:RPWP;displayName
dsacls %DCROOT% /I:S /G %SG%:RPWP;givenName
dsacls %DCROOT% /I:S /G %SG%:RPWP;sn
dsacls %DCROOT% /I:S /G %SG%:RPWP;initials
dsacls %DCROOT% /I:S /G %SG%:RPWP;description
dsacls %DCROOT% /I:S /G %SG%:RPWP;telephoneNumber
dsacls %DCROOT% /I:S /G %SG%:RPWP;otherTelephone
dsacls %DCROOT% /I:S /G %SG%:RPWP;mail
dsacls %DCROOT% /I:S /G %SG%:RPWP;physicalDeliveryOfficeName
dsacls %DCROOT% /I:S /G %SG%:RPWP;streetAddress
dsacls %DCROOT% /I:S /G %SG%:RPWP;postOfficeBox
dsacls %DCROOT% /I:S /G %SG%:RPWP;l
dsacls %DCROOT% /I:S /G %SG%:RPWP;st
dsacls %DCROOT% /I:S /G %SG%:RPWP;postalCode
dsacls %DCROOT% /I:S /G %SG%:RPWP;c
dsacls %DCROOT% /I:S /G %SG%:RPWP;homePhone
dsacls %DCROOT% /I:S /G %SG%:RPWP;pager
dsacls %DCROOT% /I:S /G %SG%:RPWP;mobile
dsacls %DCROOT% /I:S /G %SG%:RPWP;title
dsacls %DCROOT% /I:S /G %SG%:RPWP;department
dsacls %DCROOT% /I:S /G %SG%:RPWP;company
dsacls %DCROOT% /I:S /G %SG%:RPWP;manager
dsacls %DCROOT% /I:S /G %SG%:RPWP;directReports

Nun sollte ein Mitglied der SG "Personalverwaltung" in der Lage sein, einen User der OU (Organisationseinheit) Personal und der untergeordneten OUs zu verwalten.

Das klappt auch aber eben nicht bei allen Usern.... und weil ich einfach ein Muster darin erkennen kann welche User editierbar sind und welche nicht kommt es mir willkürlich vor...?

Ich habe gelesen, dass user mit übergeordneten rechten von solchen "AD Sekretärinnen" nicht verwaltet werden können, erwartungsgemäß klappt das auch nicht - nur dann verstehe ich nicht warum Kollegen des Users nicht verwaltet werden können...?
Wie entscheidet das AD darüber welche User so verwaltet werden können und welche nicht?

gruß

Content-ID: 243135

Url: https://administrator.de/forum/ad-user-von-personalabteilung-verwaltet-aber-nicht-alle-user-sind-editierbar-warum-243135.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

DefloS
DefloS 11.08.2014 um 19:41:35 Uhr
Goto Top
/push

ich habe leider immer noch das Problem das User mit der selben oder höheren Privilegien" (und seien es einfach mal irgendwelche Sicherjeitsgruppen) nicht bearbeitet werden können ... Hilfe!
DefloS
DefloS 12.08.2014 um 12:52:58 Uhr
Goto Top
Ich habe die Lösung im letzten Beitrag dieses Technet Themas gefunden:
http://social.technet.microsoft.com/Forums/de-DE/28e78982-8624-4aff-93a ...

Die Berechtigung der Gruppe zur Adressbearbeitung vererbt sich NICHT auf ältere Benutzer innheralbn der OU und den Sub OU. Das lässt sich Manuell über Eigenschaften > Sicherheit > Erweiter beim entsprechenden User ändern.

Hat jemand zufällig ein Script zur Hand womit das automatisch geht?

Sinngemäß ist der Fall jetzt aber sozusagen gelöst.