toaoice
Goto Top

Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen

Hallo,

ich habe folgendes Problem.

Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test geben. Objektverwaltungsassisten auf die Gruppe ist durchgelaufen.
Ich habe mir schon eine Benutzerdefinierte Konsole gebaut und die Gruppe hat das Recht sich per RDP auf dem Server anzumelden.
Wenn sich ein User aus der Gruppe OUAdmin nun am DC anmeldet, sieht er auf dem Desktop die Angepasste Konsole. Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.

Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.

Ziel ist es dass dieser User sich per RDP auf dem DC anmeldet und nur seine OU Bearbeiten kann.

Danke....

Content-ID: 365025

Url: https://administrator.de/forum/delgegierte-ou-via-rdp-verwalten-objektverwaltung-zuweisen-365025.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

emeriks
emeriks 16.02.2018 aktualisiert um 13:45:14 Uhr
Goto Top
Hi,
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Oha! Na nur mit RSAT. Die Frage wäre anders herum richtig: "... ohne dass sie sich gleich auf dem DC anmelden müssen."

Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Lokale Admins auf einem DC - schon klar .... Du weißt, dass das dann DIE Administratoren der Domäne sind?

Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wenn das nicht explizit eingeschränkt wird, dann kann man die MMC öffnen.
Was kommt denn da genau für eine Meldung?
Liegt auf dem Desktop die MSC selbst oder eine Verknüpfung dahin? Falls Verknüpfung: Darf der Benutzer diese MSC überhaupt lesen?

Kann es sein, dass Ihr auch TS im Einsatz habt und die Benutzer für TS Roaming Profiles haben? Und für den TS gilt eine GPO, welche MMC verbietet?

E.
TOAOICE
TOAOICE 16.02.2018 um 13:48:05 Uhr
Goto Top
Hi,

wenn sich der OU Admin auf dem DC anmeldet sieh er nix außer dem Papierkorb und der angepassten MSC.
Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.

Es ist kein TS im Einsatz.
emeriks
emeriks 16.02.2018 aktualisiert um 13:57:49 Uhr
Goto Top
Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.
Lass ihn die MSC mal mit Notepad öffnen.

Edit:
Bzw. einfach mal eine nackte mmc.exe starten
TOAOICE
TOAOICE 16.02.2018 um 14:26:17 Uhr
Goto Top
Eine nackte mmc.exe gleiches ergebnis. Als hätte der User keine Berechtigung auf die mmc.exe
emeriks
emeriks 16.02.2018 aktualisiert um 14:33:34 Uhr
Goto Top
Sind diese Benutzer Mitglieder der Domänen-Gruppe "Benutzer" (BuiltIn)? (Ich meine nicht die "Domänen-Benutzer" !)

Edit: Vergiss diese Frage .... Das sollte Standard sein.

Kontrolliere ACL der MMC.exe.
ggf. hier diese Benutzergruppe mit den Hilfs-Admins direkt mit "lesen" eintragen. (Wohl gleich ganz "System32" erforderlich wegen der ganzen DLL's)

Nimm RSAT!
TOAOICE
TOAOICE 16.02.2018 aktualisiert um 14:39:03 Uhr
Goto Top
Hi,

ich habe den Hifsadmins testweise in eine Gruppe aufgenommen die Leseberechtigun auf die mmc.exe hat.
Gleiches Ergebnis. Sorry....

Es ist die Benutzerkontensteuerung die Nachfragt ob ich zulassen möchte dass die Anwendung Änderungen auf dem Gerät vornimmt.
emeriks
Lösung emeriks 16.02.2018 um 14:49:14 Uhr
Goto Top
Nimm RSAT

Ich bin dann raus.
135333
135333 16.02.2018 aktualisiert um 14:53:37 Uhr
Goto Top
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Nimm RSAT
Dito.
emeriks
emeriks 16.02.2018 um 14:55:11 Uhr
Goto Top
Zitat von @135333:
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Was nützt einem das, wenn der Benutzer nicht elevieren kann, weil er keine Rechte dafür hat?
135333
135333 16.02.2018 aktualisiert um 14:59:08 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @135333:
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Was nützt einem das, wenn der Benutzer nicht elevieren kann, weil er keine Rechte dafür hat?
Ich meine ja, er soll es lesen damit er versteht was dahinter steckt und warum die UAC anspringt.
emeriks
emeriks 17.02.2018 um 13:05:58 Uhr
Goto Top
Weiß jemand, was die Lösung war?
TOAOICE
TOAOICE 17.02.2018 um 13:25:28 Uhr
Goto Top
Ich habs jetzt mit RSAT gemacht - Danke