2
Delegieren von Berechtigungen auf (G)MSAs
Hallo zusammen,
ich habe das Gefühl, dass mir gerade das Offensichtliche entgeht und frage daher hier mal nach Hilfe.
Derzeit versuche ich, einer bestimmten AD-Gruppe zu ermöglichen, (Group) Managed Service Accounts in dem dafür vorgesehenen Container zu managen. Naiv wie ich bin, dachte ich mir, dass das ja kein großer Aufwand sein kann und habe der betroffenen Gruppe auf dem Container einfach mal das Recht gegeben, Objekte der Typen msDS-ManagesServiceAccount und msDS-GrouoManagedServiceAccount anzulegen und zu löschen.
Das hat leider nicht zum gewünschten Erfolg geführt, die User in der berechtigten Gruppe haben in der DSA keine Option zur Anlage von (G)MSA-Objekten in diesem Container. Daraufhin habe ich zusätzlich noch Full Control auf MSAs und GMSAs vergeben, um mich danach weiter rantasten zu können. Aber auch damit klappt die Anlage nicht. Meine ACLs sehen so aus:
Wenn ich mir die effektiven Rechte eines Users in der Gruppe ansehe, dann sehe ich auch, dass die Rechte nicht ziehen. Hat das von euch jemand schon mal erfolgreich gemacht?
Vielen Dank.
Viele Grüße
Festus94
ich habe das Gefühl, dass mir gerade das Offensichtliche entgeht und frage daher hier mal nach Hilfe.
Derzeit versuche ich, einer bestimmten AD-Gruppe zu ermöglichen, (Group) Managed Service Accounts in dem dafür vorgesehenen Container zu managen. Naiv wie ich bin, dachte ich mir, dass das ja kein großer Aufwand sein kann und habe der betroffenen Gruppe auf dem Container einfach mal das Recht gegeben, Objekte der Typen msDS-ManagesServiceAccount und msDS-GrouoManagedServiceAccount anzulegen und zu löschen.Das hat leider nicht zum gewünschten Erfolg geführt, die User in der berechtigten Gruppe haben in der DSA keine Option zur Anlage von (G)MSA-Objekten in diesem Container. Daraufhin habe ich zusätzlich noch Full Control auf MSAs und GMSAs vergeben, um mich danach weiter rantasten zu können. Aber auch damit klappt die Anlage nicht. Meine ACLs sehen so aus:
Wenn ich mir die effektiven Rechte eines Users in der Gruppe ansehe, dann sehe ich auch, dass die Rechte nicht ziehen. Hat das von euch jemand schon mal erfolgreich gemacht?
Vielen Dank.
Viele Grüße
Festus94
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1000397519
Url: https://administrator.de/contentid/1000397519
Printed on: July 27, 2024 at 12:07 o'clock
2 Comments
Latest comment
Moin,
Standardfrage: Wurde der Testuser nach der Änderung ab- und wieder angemeldet?
Liebe Grüße
Erik
Standardfrage: Wurde der Testuser nach der Änderung ab- und wieder angemeldet?
Liebe Grüße
Erik
Moin,
nein, weil hier nicht nötig. Die Gruppe, die berechtigt wurde, war dem User schon immer zugewiesen. Außerdem hätte ich unabhängig davon in den effektiven Berechtigungen sehen müssen, dass der User die Objekte anlegen und löschen darf. Das ist ja auch nciht gegeben.
Viele Grüße
nein, weil hier nicht nötig. Die Gruppe, die berechtigt wurde, war dem User schon immer zugewiesen. Außerdem hätte ich unabhängig davon in den effektiven Berechtigungen sehen müssen, dass der User die Objekte anlegen und löschen darf. Das ist ja auch nciht gegeben.
Viele Grüße