Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen

Hallo,

ich habe folgendes Problem.

Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test geben. Objektverwaltungsassisten auf die Gruppe ist durchgelaufen.
Ich habe mir schon eine Benutzerdefinierte Konsole gebaut und die Gruppe hat das Recht sich per RDP auf dem Server anzumelden.
Wenn sich ein User aus der Gruppe OUAdmin nun am DC anmeldet, sieht er auf dem Desktop die Angepasste Konsole. Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.

Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.

Ziel ist es dass dieser User sich per RDP auf dem DC anmeldet und nur seine OU Bearbeiten kann.

Danke....

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 365025

Url: https://administrator.de/contentid/365025

Ausgedruckt am: 19.11.2024 um 20:11 Uhr

12 Kommentare

Neuester Kommentar

Hi,

Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.

Oha! Na nur mit RSAT. Die Frage wäre anders herum richtig: "... ohne dass sie sich gleich auf dem DC anmelden müssen."

Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.

Lokale Admins auf einem DC - schon klar .... Du weißt, dass das dann DIE Administratoren der Domäne sind?

Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.

Wenn das nicht explizit eingeschränkt wird, dann kann man die MMC öffnen.
Was kommt denn da genau für eine Meldung?
Liegt auf dem Desktop die MSC selbst oder eine Verknüpfung dahin? Falls Verknüpfung: Darf der Benutzer diese MSC überhaupt lesen?

Kann es sein, dass Ihr auch TS im Einsatz habt und die Benutzer für TS Roaming Profiles haben? Und für den TS gilt eine GPO, welche MMC verbietet?

E.

Hi,

wenn sich der OU Admin auf dem DC anmeldet sieh er nix außer dem Papierkorb und der angepassten MSC.
Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.

Es ist kein TS im Einsatz.

Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.

Lass ihn die MSC mal mit Notepad öffnen.

Edit:
Bzw. einfach mal eine nackte mmc.exe starten

Eine nackte mmc.exe gleiches ergebnis. Als hätte der User keine Berechtigung auf die mmc.exe

Sind diese Benutzer Mitglieder der Domänen-Gruppe "Benutzer" (BuiltIn)? (Ich meine nicht die "Domänen-Benutzer" !)

Edit: Vergiss diese Frage .... Das sollte Standard sein.

Kontrolliere ACL der MMC.exe.
ggf. hier diese Benutzergruppe mit den Hilfs-Admins direkt mit "lesen" eintragen. (Wohl gleich ganz "System32" erforderlich wegen der ganzen DLL's)

Nimm RSAT!

Hi,

ich habe den Hifsadmins testweise in eine Gruppe aufgenommen die Leseberechtigun auf die mmc.exe hat.
Gleiches Ergebnis. Sorry....

Es ist die Benutzerkontensteuerung die Nachfragt ob ich zulassen möchte dass die Anwendung Änderungen auf dem Gerät vornimmt.