AD-User von Personalabteilung verwaltet, aber nicht alle User sind editierbar, warum?

Hallo Leute,

mal wieder ein Problem, und ich verstehe nicht warum...

Kurzbeschreibung:
Ein Mitglied der Personalabteilung soll Userdatem im AD Pflegen. Eine SIcherheitsgruppe die zu diesem Vorgang berechtigt existiert. Manche User lassen sich auch editieren, aber manche auch nicht obwohl alle User in dieser OU sind...?

Im Detail.
Folgendes dsacls.exe script gewährt begrenzten Zugriff auf bestimmt AD eigenschaften der User:

SET DCROOT="OU=Personal,DC=domain,DC=local"  
SET SG="Personalverwaltung"  

dsacls %DCROOT% /I:S /G %SG%:RPWP;displayName
dsacls %DCROOT% /I:S /G %SG%:RPWP;givenName
dsacls %DCROOT% /I:S /G %SG%:RPWP;sn
dsacls %DCROOT% /I:S /G %SG%:RPWP;initials
dsacls %DCROOT% /I:S /G %SG%:RPWP;description
dsacls %DCROOT% /I:S /G %SG%:RPWP;telephoneNumber
dsacls %DCROOT% /I:S /G %SG%:RPWP;otherTelephone
dsacls %DCROOT% /I:S /G %SG%:RPWP;mail
dsacls %DCROOT% /I:S /G %SG%:RPWP;physicalDeliveryOfficeName
dsacls %DCROOT% /I:S /G %SG%:RPWP;streetAddress
dsacls %DCROOT% /I:S /G %SG%:RPWP;postOfficeBox
dsacls %DCROOT% /I:S /G %SG%:RPWP;l
dsacls %DCROOT% /I:S /G %SG%:RPWP;st
dsacls %DCROOT% /I:S /G %SG%:RPWP;postalCode
dsacls %DCROOT% /I:S /G %SG%:RPWP;c
dsacls %DCROOT% /I:S /G %SG%:RPWP;homePhone
dsacls %DCROOT% /I:S /G %SG%:RPWP;pager
dsacls %DCROOT% /I:S /G %SG%:RPWP;mobile
dsacls %DCROOT% /I:S /G %SG%:RPWP;title
dsacls %DCROOT% /I:S /G %SG%:RPWP;department
dsacls %DCROOT% /I:S /G %SG%:RPWP;company
dsacls %DCROOT% /I:S /G %SG%:RPWP;manager
dsacls %DCROOT% /I:S /G %SG%:RPWP;directReports

Nun sollte ein Mitglied der SG "Personalverwaltung" in der Lage sein, einen User der OU (Organisationseinheit) Personal und der untergeordneten OUs zu verwalten.

Das klappt auch aber eben nicht bei allen Usern.... und weil ich einfach ein Muster darin erkennen kann welche User editierbar sind und welche nicht kommt es mir willkürlich vor...?

Ich habe gelesen, dass user mit übergeordneten rechten von solchen "AD Sekretärinnen" nicht verwaltet werden können, erwartungsgemäß klappt das auch nicht - nur dann verstehe ich nicht warum Kollegen des Users nicht verwaltet werden können...?
Wie entscheidet das AD darüber welche User so verwaltet werden können und welche nicht?

gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 243135

Url: https://administrator.de/contentid/243135

Ausgedruckt am: 23.11.2024 um 12:11 Uhr

2 Kommentare

Neuester Kommentar

/push

ich habe leider immer noch das Problem das User mit der selben oder höheren Privilegien" (und seien es einfach mal irgendwelche Sicherjeitsgruppen) nicht bearbeitet werden können ... Hilfe!

Ich habe die Lösung im letzten Beitrag dieses Technet Themas gefunden:
http://social.technet.microsoft.com/Forums/de-DE/28e78982-8624-4aff-93a ...

Die Berechtigung der Gruppe zur Adressbearbeitung vererbt sich NICHT auf ältere Benutzer innheralbn der OU und den Sub OU. Das lässt sich Manuell über Eigenschaften > Sicherheit > Erweiter beim entsprechenden User ändern.

Hat jemand zufällig ein Script zur Hand womit das automatisch geht?

Sinngemäß ist der Fall jetzt aber sozusagen gelöst.

gelöst Frage Microsoft Windows Userverwaltung

Mehr von DefloS

PowerShell: Last Logon mit Namen und DatumDefloS - 5 Kommentare

Windows 10 Setup Error: "windows kann mithilfe von setup nicht auf einem usb-speicherstick installiert werden"DefloS - 4 Kommentare

Windows 10: Verteilung in der Domäne, wie? (WSUS?)DefloS - 7 Kommentare

IPv6: Firmen VPN über das zugewiesene Präfix zw. den Standorten, aber WIE?!DefloS - 2 Kommentare

Heiß diskutiert