12
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
Hallo,
ich habe folgendes Problem.
Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test geben. Objektverwaltungsassisten auf die Gruppe ist durchgelaufen.
Ich habe mir schon eine Benutzerdefinierte Konsole gebaut und die Gruppe hat das Recht sich per RDP auf dem Server anzumelden.
Wenn sich ein User aus der Gruppe OUAdmin nun am DC anmeldet, sieht er auf dem Desktop die Angepasste Konsole. Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Ziel ist es dass dieser User sich per RDP auf dem DC anmeldet und nur seine OU Bearbeiten kann.
Danke....
ich habe folgendes Problem.
Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test geben. Objektverwaltungsassisten auf die Gruppe ist durchgelaufen.
Ich habe mir schon eine Benutzerdefinierte Konsole gebaut und die Gruppe hat das Recht sich per RDP auf dem Server anzumelden.
Wenn sich ein User aus der Gruppe OUAdmin nun am DC anmeldet, sieht er auf dem Desktop die Angepasste Konsole. Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Ziel ist es dass dieser User sich per RDP auf dem DC anmeldet und nur seine OU Bearbeiten kann.
Danke....
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 365025
Url: https://administrator.de/contentid/365025
Printed on: April 27, 2024 at 07:04 o'clock
12 Comments
Latest comment
Hi,
Was kommt denn da genau für eine Meldung?
Liegt auf dem Desktop die MSC selbst oder eine Verknüpfung dahin? Falls Verknüpfung: Darf der Benutzer diese MSC überhaupt lesen?
Kann es sein, dass Ihr auch TS im Einsatz habt und die Benutzer für TS Roaming Profiles haben? Und für den TS gilt eine GPO, welche MMC verbietet?
E.
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Oha! Na nur mit RSAT. Die Frage wäre anders herum richtig: "... ohne dass sie sich gleich auf dem DC anmelden müssen."Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Lokale Admins auf einem DC - schon klar .... Du weißt, dass das dann DIE Administratoren der Domäne sind?Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wenn das nicht explizit eingeschränkt wird, dann kann man die MMC öffnen.Was kommt denn da genau für eine Meldung?
Liegt auf dem Desktop die MSC selbst oder eine Verknüpfung dahin? Falls Verknüpfung: Darf der Benutzer diese MSC überhaupt lesen?
Kann es sein, dass Ihr auch TS im Einsatz habt und die Benutzer für TS Roaming Profiles haben? Und für den TS gilt eine GPO, welche MMC verbietet?
E.
Hi,
wenn sich der OU Admin auf dem DC anmeldet sieh er nix außer dem Papierkorb und der angepassten MSC.
Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.
Es ist kein TS im Einsatz.
wenn sich der OU Admin auf dem DC anmeldet sieh er nix außer dem Papierkorb und der angepassten MSC.
Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.
Es ist kein TS im Einsatz.
Auf die MSC hat er Vollzugriff. Wenn er diese öffnen will, popt die Benutzeranmeldung auf und es werden AdminCredentials erwartet.
Lass ihn die MSC mal mit Notepad öffnen.Edit:
Bzw. einfach mal eine nackte mmc.exe starten
Eine nackte mmc.exe gleiches ergebnis. Als hätte der User keine Berechtigung auf die mmc.exe
Sind diese Benutzer Mitglieder der Domänen-Gruppe "Benutzer" (BuiltIn)? (Ich meine nicht die "Domänen-Benutzer" !)
Edit: Vergiss diese Frage .... Das sollte Standard sein.
Kontrolliere ACL der MMC.exe.
ggf. hier diese Benutzergruppe mit den Hilfs-Admins direkt mit "lesen" eintragen. (Wohl gleich ganz "System32" erforderlich wegen der ganzen DLL's)
Nimm RSAT!
Edit: Vergiss diese Frage .... Das sollte Standard sein.
Kontrolliere ACL der MMC.exe.
ggf. hier diese Benutzergruppe mit den Hilfs-Admins direkt mit "lesen" eintragen. (Wohl gleich ganz "System32" erforderlich wegen der ganzen DLL's)
Nimm RSAT!
Hi,
ich habe den Hifsadmins testweise in eine Gruppe aufgenommen die Leseberechtigun auf die mmc.exe hat.
Gleiches Ergebnis. Sorry....
Es ist die Benutzerkontensteuerung die Nachfragt ob ich zulassen möchte dass die Anwendung Änderungen auf dem Gerät vornimmt.
ich habe den Hifsadmins testweise in eine Gruppe aufgenommen die Leseberechtigun auf die mmc.exe hat.
Gleiches Ergebnis. Sorry....
Es ist die Benutzerkontensteuerung die Nachfragt ob ich zulassen möchte dass die Anwendung Änderungen auf dem Gerät vornimmt.
Nimm RSAT
Ich bin dann raus.
Ich bin dann raus.
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Abschnitt Auto-Elevation.
Nimm RSAT
Dito.Zitat von @135333:
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Was nützt einem das, wenn der Benutzer nicht elevieren kann, weil er keine Rechte dafür hat?https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Zitat von @emeriks:
Ich meine ja, er soll es lesen damit er versteht was dahinter steckt und warum die UAC anspringt.Zitat von @135333:
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Was nützt einem das, wenn der Benutzer nicht elevieren kann, weil er keine Rechte dafür hat?https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Weiß jemand, was die Lösung war?
Ich habs jetzt mit RSAT gemacht - Danke