AD-User von Personalabteilung verwaltet, aber nicht alle User sind editierbar, warum?
Hallo Leute,
mal wieder ein Problem, und ich verstehe nicht warum...
Kurzbeschreibung:
Ein Mitglied der Personalabteilung soll Userdatem im AD Pflegen. Eine SIcherheitsgruppe die zu diesem Vorgang berechtigt existiert. Manche User lassen sich auch editieren, aber manche auch nicht obwohl alle User in dieser OU sind...?
Im Detail.
Folgendes dsacls.exe script gewährt begrenzten Zugriff auf bestimmt AD eigenschaften der User:
Nun sollte ein Mitglied der SG "Personalverwaltung" in der Lage sein, einen User der OU (Organisationseinheit) Personal und der untergeordneten OUs zu verwalten.
Das klappt auch aber eben nicht bei allen Usern.... und weil ich einfach ein Muster darin erkennen kann welche User editierbar sind und welche nicht kommt es mir willkürlich vor...?
Ich habe gelesen, dass user mit übergeordneten rechten von solchen "AD Sekretärinnen" nicht verwaltet werden können, erwartungsgemäß klappt das auch nicht - nur dann verstehe ich nicht warum Kollegen des Users nicht verwaltet werden können...?
Wie entscheidet das AD darüber welche User so verwaltet werden können und welche nicht?
gruß
mal wieder ein Problem, und ich verstehe nicht warum...
Kurzbeschreibung:
Ein Mitglied der Personalabteilung soll Userdatem im AD Pflegen. Eine SIcherheitsgruppe die zu diesem Vorgang berechtigt existiert. Manche User lassen sich auch editieren, aber manche auch nicht obwohl alle User in dieser OU sind...?
Im Detail.
Folgendes dsacls.exe script gewährt begrenzten Zugriff auf bestimmt AD eigenschaften der User:
SET DCROOT="OU=Personal,DC=domain,DC=local"
SET SG="Personalverwaltung"
dsacls %DCROOT% /I:S /G %SG%:RPWP;displayName
dsacls %DCROOT% /I:S /G %SG%:RPWP;givenName
dsacls %DCROOT% /I:S /G %SG%:RPWP;sn
dsacls %DCROOT% /I:S /G %SG%:RPWP;initials
dsacls %DCROOT% /I:S /G %SG%:RPWP;description
dsacls %DCROOT% /I:S /G %SG%:RPWP;telephoneNumber
dsacls %DCROOT% /I:S /G %SG%:RPWP;otherTelephone
dsacls %DCROOT% /I:S /G %SG%:RPWP;mail
dsacls %DCROOT% /I:S /G %SG%:RPWP;physicalDeliveryOfficeName
dsacls %DCROOT% /I:S /G %SG%:RPWP;streetAddress
dsacls %DCROOT% /I:S /G %SG%:RPWP;postOfficeBox
dsacls %DCROOT% /I:S /G %SG%:RPWP;l
dsacls %DCROOT% /I:S /G %SG%:RPWP;st
dsacls %DCROOT% /I:S /G %SG%:RPWP;postalCode
dsacls %DCROOT% /I:S /G %SG%:RPWP;c
dsacls %DCROOT% /I:S /G %SG%:RPWP;homePhone
dsacls %DCROOT% /I:S /G %SG%:RPWP;pager
dsacls %DCROOT% /I:S /G %SG%:RPWP;mobile
dsacls %DCROOT% /I:S /G %SG%:RPWP;title
dsacls %DCROOT% /I:S /G %SG%:RPWP;department
dsacls %DCROOT% /I:S /G %SG%:RPWP;company
dsacls %DCROOT% /I:S /G %SG%:RPWP;manager
dsacls %DCROOT% /I:S /G %SG%:RPWP;directReports
Nun sollte ein Mitglied der SG "Personalverwaltung" in der Lage sein, einen User der OU (Organisationseinheit) Personal und der untergeordneten OUs zu verwalten.
Das klappt auch aber eben nicht bei allen Usern.... und weil ich einfach ein Muster darin erkennen kann welche User editierbar sind und welche nicht kommt es mir willkürlich vor...?
Ich habe gelesen, dass user mit übergeordneten rechten von solchen "AD Sekretärinnen" nicht verwaltet werden können, erwartungsgemäß klappt das auch nicht - nur dann verstehe ich nicht warum Kollegen des Users nicht verwaltet werden können...?
Wie entscheidet das AD darüber welche User so verwaltet werden können und welche nicht?
gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 243135
Url: https://administrator.de/forum/ad-user-von-personalabteilung-verwaltet-aber-nicht-alle-user-sind-editierbar-warum-243135.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
2 Kommentare
Neuester Kommentar