Delegieren von Berechtigungen auf (G)MSAs
Hallo zusammen,
ich habe das Gefühl, dass mir gerade das Offensichtliche entgeht und frage daher hier mal nach Hilfe. Derzeit versuche ich, einer bestimmten AD-Gruppe zu ermöglichen, (Group) Managed Service Accounts in dem dafür vorgesehenen Container zu managen. Naiv wie ich bin, dachte ich mir, dass das ja kein großer Aufwand sein kann und habe der betroffenen Gruppe auf dem Container einfach mal das Recht gegeben, Objekte der Typen msDS-ManagesServiceAccount und msDS-GrouoManagedServiceAccount anzulegen und zu löschen.
Das hat leider nicht zum gewünschten Erfolg geführt, die User in der berechtigten Gruppe haben in der DSA keine Option zur Anlage von (G)MSA-Objekten in diesem Container. Daraufhin habe ich zusätzlich noch Full Control auf MSAs und GMSAs vergeben, um mich danach weiter rantasten zu können. Aber auch damit klappt die Anlage nicht. Meine ACLs sehen so aus:
Wenn ich mir die effektiven Rechte eines Users in der Gruppe ansehe, dann sehe ich auch, dass die Rechte nicht ziehen. Hat das von euch jemand schon mal erfolgreich gemacht?
Vielen Dank.
Viele Grüße
Festus94
ich habe das Gefühl, dass mir gerade das Offensichtliche entgeht und frage daher hier mal nach Hilfe. Derzeit versuche ich, einer bestimmten AD-Gruppe zu ermöglichen, (Group) Managed Service Accounts in dem dafür vorgesehenen Container zu managen. Naiv wie ich bin, dachte ich mir, dass das ja kein großer Aufwand sein kann und habe der betroffenen Gruppe auf dem Container einfach mal das Recht gegeben, Objekte der Typen msDS-ManagesServiceAccount und msDS-GrouoManagedServiceAccount anzulegen und zu löschen.
Das hat leider nicht zum gewünschten Erfolg geführt, die User in der berechtigten Gruppe haben in der DSA keine Option zur Anlage von (G)MSA-Objekten in diesem Container. Daraufhin habe ich zusätzlich noch Full Control auf MSAs und GMSAs vergeben, um mich danach weiter rantasten zu können. Aber auch damit klappt die Anlage nicht. Meine ACLs sehen so aus:
Wenn ich mir die effektiven Rechte eines Users in der Gruppe ansehe, dann sehe ich auch, dass die Rechte nicht ziehen. Hat das von euch jemand schon mal erfolgreich gemacht?
Vielen Dank.
Viele Grüße
Festus94
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1000397519
Url: https://administrator.de/forum/delegieren-von-berechtigungen-auf-gmsas-1000397519.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
2 Kommentare
Neuester Kommentar