Domain User soll nach RD Anmeldung am DC auch eine MMC öffnen können
Huhu,
nach dem Erstellen einer angepassten MMC zur Benutzerpflege für einen Domain User
(danke an die schöne Anleitung:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory )
habe ich jetzt nur das Thema, dass der User die MMC nicht öffnen kann. Es fehlt ihm das nötige erhöhte Recht dazu. Macht man den User zum Admin, klappt es. Das soll er ja aber nicht sein...
Anmelden soll er sich am DC per Remote Desktop, das klappt bereits.
(bewusst nicht die RSAT Variante, dauert pro Klick 30sec! Die Fehlersuche hier kann vlt. an anderer Stelle mal besprochen werden
)
Server: 2012 R2
Domain/Forest Functional Level: 2012 R2
Unter ADUC per Delegate Control Rechte auf nur eine spezielle OU vergeben:
Folgende Rechte auf Allow :
Create/Delete Group/User Objects
Full Control auf absteigende Objekte
unter Local Group Policy noch folgende Änderung vorgenommen, jedoch ohne Effekt:
User --> Adm. Templates --> Windows Components --> Microsoft Management Console -->
1. Restrict the User from entering author mode --> disabled
2. Restrict users to the explicitly permitted list of Snap-ins --> disabled
Ich habe auch schon versucht, den User zu einer BUILTIN Gruppe hinzuzufügen, die mir am sinnvollsten erschien, leider aber auch ohne Effekt:
Account Operators
Remote Management Users
Es reicht auch nicht, der mmc unter Sicherheit den User als berechtigt einzutragen...
Habe auch alle Rechte in Summe versucht, keine Chance...
Er kann einfach diese (und auch alle anderen) MMC nicht öffnen, da immer wieder erhöhte Rechte gefordert werden...
Ist das eine 2012 R2 Eigenheit?
Wer kann helfen und hat sich da schon einmal durchgewissen?
Wo ist diese vermaledeite Stelle, um meinem Domain User das nötige Recht zum Anmelden an einer MMC auf dem Domain Controller zu geben?
Grüße
aus HH
nach dem Erstellen einer angepassten MMC zur Benutzerpflege für einen Domain User
(danke an die schöne Anleitung:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory )
habe ich jetzt nur das Thema, dass der User die MMC nicht öffnen kann. Es fehlt ihm das nötige erhöhte Recht dazu. Macht man den User zum Admin, klappt es. Das soll er ja aber nicht sein...
Anmelden soll er sich am DC per Remote Desktop, das klappt bereits.
(bewusst nicht die RSAT Variante, dauert pro Klick 30sec! Die Fehlersuche hier kann vlt. an anderer Stelle mal besprochen werden
Server: 2012 R2
Domain/Forest Functional Level: 2012 R2
Unter ADUC per Delegate Control Rechte auf nur eine spezielle OU vergeben:
Folgende Rechte auf Allow :
Create/Delete Group/User Objects
Full Control auf absteigende Objekte
wie oben beschrieben den sichtbaren Bereich auch nur auf diese eine OU eingeschränkt.
unter Local Group Policy noch folgende Änderung vorgenommen, jedoch ohne Effekt:
User --> Adm. Templates --> Windows Components --> Microsoft Management Console -->
1. Restrict the User from entering author mode --> disabled
2. Restrict users to the explicitly permitted list of Snap-ins --> disabled
Ich habe auch schon versucht, den User zu einer BUILTIN Gruppe hinzuzufügen, die mir am sinnvollsten erschien, leider aber auch ohne Effekt:
Account Operators
Remote Management Users
Es reicht auch nicht, der mmc unter Sicherheit den User als berechtigt einzutragen...
Habe auch alle Rechte in Summe versucht, keine Chance...
Er kann einfach diese (und auch alle anderen) MMC nicht öffnen, da immer wieder erhöhte Rechte gefordert werden...
Ist das eine 2012 R2 Eigenheit?
Wer kann helfen und hat sich da schon einmal durchgewissen?
Wo ist diese vermaledeite Stelle, um meinem Domain User das nötige Recht zum Anmelden an einer MMC auf dem Domain Controller zu geben?
Grüße
aus HH
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275672
Url: https://administrator.de/forum/domain-user-soll-nach-rd-anmeldung-am-dc-auch-eine-mmc-oeffnen-koennen-275672.html
Ausgedruckt am: 08.04.2025 um 03:04 Uhr
8 Kommentare
Neuester Kommentar
OK, wenn Du meinst.
Nimm einen isolierten DC, starte dort den Process Monitor und überwache MMC.exe. Dann siehst Du, wo sie überall zugreift. Wenn es nur an NTFS-Rechten oder Rechten in der Registry liegen sollte, dann bekommst Du das so raus. Wenn es an den Privilegien liegen sollte, dann wirst Du diese der Reihe nach durchprobieren müssen. Viel Erfolg beim Testen! Postet Du hier bitte auch das Ergebnis?
E.
Nimm einen isolierten DC, starte dort den Process Monitor und überwache MMC.exe. Dann siehst Du, wo sie überall zugreift. Wenn es nur an NTFS-Rechten oder Rechten in der Registry liegen sollte, dann bekommst Du das so raus. Wenn es an den Privilegien liegen sollte, dann wirst Du diese der Reihe nach durchprobieren müssen. Viel Erfolg beim Testen! Postet Du hier bitte auch das Ergebnis?
E.
Moin,
auch wenn ich das wie die Kollegen für einen sicherheitstechnischen Gau halte.
Funktionieren tut das wenn man unbedingt möchte.
Was hier im Test auf einem cleanen DC und einem stinknormalen Domain-User funktioniert hat:
- Anmelden über Remote-Desktop Dienste zulassen
Beim Aufruf kommt die UAC die aber bei erneuter Eingabe der User-Daten die MMC problemlos öffnet und ein Zugriff auf "AD Benutzer und Computer" ermöglicht.
Aber trotzdem Kopfschüttel für das Vorhaben...
Grüße Uwe
auch wenn ich das wie die Kollegen für einen sicherheitstechnischen Gau halte.
Funktionieren tut das wenn man unbedingt möchte.
Was hier im Test auf einem cleanen DC und einem stinknormalen Domain-User funktioniert hat:
- Dem Benutzer in den lokalen Sicherheitsrichtlinen des DCs (secpol.msc oder via GPO) folgende Rechte geben:
- Anmelden über Remote-Desktop Dienste zulassen
Beim Aufruf kommt die UAC die aber bei erneuter Eingabe der User-Daten die MMC problemlos öffnet und ein Zugriff auf "AD Benutzer und Computer" ermöglicht.
Aber trotzdem Kopfschüttel für das Vorhaben...
Grüße Uwe