Delegieren von Berechtigungen auf (G)MSAs

festus94
Goto Top
Hallo zusammen,

ich habe das Gefühl, dass mir gerade das Offensichtliche entgeht und frage daher hier mal nach Hilfe. face-smile Derzeit versuche ich, einer bestimmten AD-Gruppe zu ermöglichen, (Group) Managed Service Accounts in dem dafür vorgesehenen Container zu managen. Naiv wie ich bin, dachte ich mir, dass das ja kein großer Aufwand sein kann und habe der betroffenen Gruppe auf dem Container einfach mal das Recht gegeben, Objekte der Typen msDS-ManagesServiceAccount und msDS-GrouoManagedServiceAccount anzulegen und zu löschen.

Das hat leider nicht zum gewünschten Erfolg geführt, die User in der berechtigten Gruppe haben in der DSA keine Option zur Anlage von (G)MSA-Objekten in diesem Container. Daraufhin habe ich zusätzlich noch Full Control auf MSAs und GMSAs vergeben, um mich danach weiter rantasten zu können. Aber auch damit klappt die Anlage nicht. Meine ACLs sehen so aus:

permissions

Wenn ich mir die effektiven Rechte eines Users in der Gruppe ansehe, dann sehe ich auch, dass die Rechte nicht ziehen. Hat das von euch jemand schon mal erfolgreich gemacht?

Vielen Dank. face-smile

Viele Grüße

Festus94

Content-Key: 1000397519

Url: https://administrator.de/contentid/1000397519

Ausgedruckt am: 13.08.2022 um 16:08 Uhr

Mitglied: erikro
erikro 14.07.2021 um 18:32:19 Uhr
Goto Top
Moin,

Standardfrage: Wurde der Testuser nach der Änderung ab- und wieder angemeldet?

Liebe Grüße

Erik
Mitglied: Festus94
Festus94 15.07.2021 um 08:11:18 Uhr
Goto Top
Moin,

nein, weil hier nicht nötig. Die Gruppe, die berechtigt wurde, war dem User schon immer zugewiesen. Außerdem hätte ich unabhängig davon in den effektiven Berechtigungen sehen müssen, dass der User die Objekte anlegen und löschen darf. Das ist ja auch nciht gegeben. face-smile

Viele Grüße