Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
Hallo,
ich habe folgendes Problem.
Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test geben. Objektverwaltungsassisten auf die Gruppe ist durchgelaufen.
Ich habe mir schon eine Benutzerdefinierte Konsole gebaut und die Gruppe hat das Recht sich per RDP auf dem Server anzumelden.
Wenn sich ein User aus der Gruppe OUAdmin nun am DC anmeldet, sieht er auf dem Desktop die Angepasste Konsole. Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Ziel ist es dass dieser User sich per RDP auf dem DC anmeldet und nur seine OU Bearbeiten kann.
Danke....
ich habe folgendes Problem.
Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test geben. Objektverwaltungsassisten auf die Gruppe ist durchgelaufen.
Ich habe mir schon eine Benutzerdefinierte Konsole gebaut und die Gruppe hat das Recht sich per RDP auf dem Server anzumelden.
Wenn sich ein User aus der Gruppe OUAdmin nun am DC anmeldet, sieht er auf dem Desktop die Angepasste Konsole. Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Ziel ist es dass dieser User sich per RDP auf dem DC anmeldet und nur seine OU Bearbeiten kann.
Danke....
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365025
Url: https://administrator.de/forum/delgegierte-ou-via-rdp-verwalten-objektverwaltung-zuweisen-365025.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
12 Kommentare
Neuester Kommentar
Hi,
Was kommt denn da genau für eine Meldung?
Liegt auf dem Desktop die MSC selbst oder eine Verknüpfung dahin? Falls Verknüpfung: Darf der Benutzer diese MSC überhaupt lesen?
Kann es sein, dass Ihr auch TS im Einsatz habt und die Benutzer für TS Roaming Profiles haben? Und für den TS gilt eine GPO, welche MMC verbietet?
E.
Wie macht ihr sowas, ohne gleich die "Admin" Clients mit RSAT auszustatten.
Oha! Na nur mit RSAT. Die Frage wäre anders herum richtig: "... ohne dass sie sich gleich auf dem DC anmelden müssen."Wenn ich die Gruppe in die lokalen Admins aufnehme, funktioniert es aber dadurch kann er ja auch wieder alles.
Lokale Admins auf einem DC - schon klar .... Du weißt, dass das dann DIE Administratoren der Domäne sind?Problem dabei ist, dass er diese nicht öffnen kann, da ihm vermutlich die Berechtigun auf die mmc fehlt.
Wenn das nicht explizit eingeschränkt wird, dann kann man die MMC öffnen.Was kommt denn da genau für eine Meldung?
Liegt auf dem Desktop die MSC selbst oder eine Verknüpfung dahin? Falls Verknüpfung: Darf der Benutzer diese MSC überhaupt lesen?
Kann es sein, dass Ihr auch TS im Einsatz habt und die Benutzer für TS Roaming Profiles haben? Und für den TS gilt eine GPO, welche MMC verbietet?
E.
Sind diese Benutzer Mitglieder der Domänen-Gruppe "Benutzer" (BuiltIn)? (Ich meine nicht die "Domänen-Benutzer" !)
Edit: Vergiss diese Frage .... Das sollte Standard sein.
Kontrolliere ACL der MMC.exe.
ggf. hier diese Benutzergruppe mit den Hilfs-Admins direkt mit "lesen" eintragen. (Wohl gleich ganz "System32" erforderlich wegen der ganzen DLL's)
Nimm RSAT!
Edit: Vergiss diese Frage .... Das sollte Standard sein.
Kontrolliere ACL der MMC.exe.
ggf. hier diese Benutzergruppe mit den Hilfs-Admins direkt mit "lesen" eintragen. (Wohl gleich ganz "System32" erforderlich wegen der ganzen DLL's)
Nimm RSAT!
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Abschnitt Auto-Elevation.
Nimm RSAT
Dito.Zitat von @135333:
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Was nützt einem das, wenn der Benutzer nicht elevieren kann, weil er keine Rechte dafür hat?https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Zitat von @emeriks:
Ich meine ja, er soll es lesen damit er versteht was dahinter steckt und warum die UAC anspringt.Zitat von @135333:
https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.
Was nützt einem das, wenn der Benutzer nicht elevieren kann, weil er keine Rechte dafür hat?https://technet.microsoft.com/en-us/library/2009.07.uac.aspx
Abschnitt Auto-Elevation.