8
Mit einem GPO einem Benutzer Rechte im AD geben
Hallo Administrator-Community. Bei meiner letzten Frage konnte mir hier sehr schnell und kompetent geholfen werden. Aus diesem Grund würde ich hier gern ein weiteres Problem von mir schildern. Zuerst muss ich mich einmal entschuldigen, dass die Überschrift nicht ganz mein Problem wiedergibt, aber es war nicht so einfach eine kurze Überschrift zu finden.
Zu meinem Problem. Ich habe verschiedene Aufgaben rund ums AD bekommen um mich ein besseres Verständnis für das gesamte Gebiet zu bekommen. Doch mit den GPO's habe ich immer noch so meine Probleme. So habe ich einfach keine Ahnung wie ich die folgende Aufgabe mit einer Gruppenrichtlinie lösen soll.
Es existiert eine OU mit dem Namen "Obergruppe". User "Alf" gehört zu dieser OU und soll die Möglichkeit haben alle Passwörter der anderen Domain User zurückzusetzen. Außerdem soll User "Alf" die Möglichkeit haben Computeraccounts zu löschen ohne das User "Alf" Account Operator ist.
Also ich stehe irgendwie auf dem Schlauch, jedenfalls habe ich überhaupt keine Ahnung wie man so etwas mit ner Gruppenrichtlinie umsetzt.
Ich könnte User Alf einfach AD Rechte geben oder ihn in eine neue Gruppe setzen die AD-Rechte hat. Aber das ist nicht Sinn der Sache. Es soll ja nur per GPO gelöst werden.
Ich hoffe ihr könnt mir wieder einmal helfen.
Zu meinem Problem. Ich habe verschiedene Aufgaben rund ums AD bekommen um mich ein besseres Verständnis für das gesamte Gebiet zu bekommen. Doch mit den GPO's habe ich immer noch so meine Probleme. So habe ich einfach keine Ahnung wie ich die folgende Aufgabe mit einer Gruppenrichtlinie lösen soll.
Es existiert eine OU mit dem Namen "Obergruppe". User "Alf" gehört zu dieser OU und soll die Möglichkeit haben alle Passwörter der anderen Domain User zurückzusetzen. Außerdem soll User "Alf" die Möglichkeit haben Computeraccounts zu löschen ohne das User "Alf" Account Operator ist.
Also ich stehe irgendwie auf dem Schlauch, jedenfalls habe ich überhaupt keine Ahnung wie man so etwas mit ner Gruppenrichtlinie umsetzt.
Ich könnte User Alf einfach AD Rechte geben oder ihn in eine neue Gruppe setzen die AD-Rechte hat. Aber das ist nicht Sinn der Sache. Es soll ja nur per GPO gelöst werden.
Ich hoffe ihr könnt mir wieder einmal helfen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 154656
Url: https://administrator.de/contentid/154656
Printed on: April 24, 2024 at 16:04 o'clock
8 Comments
Latest comment
Hallo ADStarter,
welchen Serverr-Betriebssystem verwendest Du: Windows 2000, Windows2003, 2003 R2, oder Windows 2008, bzw 2008 R2?
Welchen DOMAIN-Level hat die DOMAIN?
Mit freundlichen Grüßen
holli
welchen Serverr-Betriebssystem verwendest Du: Windows 2000, Windows2003, 2003 R2, oder Windows 2008, bzw 2008 R2?
Welchen DOMAIN-Level hat die DOMAIN?
Mit freundlichen Grüßen
holli
Arg...da abe ich im Eifer des Gefechts doch glatt die wichtigsten Eckdaten vergessen.
Die Domain läut über 2 DC's , die beide Windows Server 2003 R2 installiert haben. Die Domain läuft auf dem Windows Server 2003 Level.
Die Domain läut über 2 DC's , die beide Windows Server 2003 R2 installiert haben. Die Domain läuft auf dem Windows Server 2003 Level.
Servus,
dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.
Schau dich auf dieser Seite um:
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.
Schau dich auf dieser Seite um:
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
Das ist doch mal eine klare Aussage.
Danke für die Antwort, ich habe mich auch schon gewundert warum ich wirklich nichts dazu im Web finde.
Bis zum nächsten mal^^
Danke für die Antwort, ich habe mich auch schon gewundert warum ich wirklich nichts dazu im Web finde.
Bis zum nächsten mal^^
Zitat von @Yusuf-Dikmenoglu:
Servus,
dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.
Schau dich auf dieser Seite um:
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
Servus,
dein Vorgehen lässt sich ausschließlich über die AD-Delegierung und *nicht* mit GPOs lösen.
Schau dich auf dieser Seite um:
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
Hallo Yusuf-Dikmenoglu,
ich glaube man kann das auch mit einer GPO lösen:
in der Standard Domain-Policy schaut man nach, wo überall der "Accountmanager" drin steht ( geht glaube auch über Filter ).
Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer neuen GPO und diese verlinkt man auf die entsprechende OU.
Hinweis: Man sollte GPO-Update auf einen kurzen Intervall setzen.
MfG
holli
Zitat von @holli.zimmi:
> Zitat von @Yusuf-Dikmenoglu:
> ----
ich glaube man kann das auch mit einer GPO lösen:
> Zitat von @Yusuf-Dikmenoglu:
> ----
ich glaube man kann das auch mit einer GPO lösen:
Ich pflege zu sagen: Glauben tut der Pfarrer.
in der Standard Domain-Policy schaut man nach, wo überall der "Accountmanager" drin steht ( geht glaube auch
über Filter ). Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer
neuen GPO und diese verlinkt man auf die entsprechende OU.
über Filter ). Genau diese gleichen Einstellungen uebergibt man den User ( "besser der neuen Gruppe Accountmanager" ) in einer
neuen GPO und diese verlinkt man auf die entsprechende OU.
Hier kann ich dir nicht recht folgen. Erläutere das doch einmal an einem Beispiel.
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?
Trotzdem bleibe ich dabei: Delegierungen führt man im AD durch und nicht mit GPOs.
Gruß, Yusuf Dikmenoglu
Hallo
Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.
Accountoperator = Konten-Operator
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Allgemein welche Berechtigungen vergeben:
http://www.gruppenrichtlinien.de/
Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.
Gruß holli
Hier kann ich dir nicht recht folgen. Erläutere das doch einmal an einem Beispiel.
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?
Welche Rechte hat danach der Benutzer im AD und kann das was durchführen?
Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.
Accountoperator = Konten-Operator
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lok ...
Allgemein welche Berechtigungen vergeben:
http://www.gruppenrichtlinien.de/
Trotzdem bleibe ich dabei: Delegierungen führt man im AD durch und nicht mit GPOs.
Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.
Gruß holli
Zitat von @holli.zimmi:
Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.
Genau das was der Accountmanager kann, nur innerhalb der OU wo er die GPO verlinkt hat bzw aktiviert hat.
Deswegen kann man ja neue Gruppen erstellen und denen spezielle Aufgaben zuweisen.
Also da liegt der Hase im Pfeffer begraben. Dass ist alles andere, nur keine Delegierung im AD!
Allgemein welche Berechtigungen vergeben:
Allgemein AD-Delegierungen einrichten:
[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Da gebe ich Dir generell recht, nur muss jeder Admin selber wissen, welche Lösung die geschickteste ist bzw für seine
Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.
Umgebung am leichtesten umzusetzen geht. Da spielen Design, Sicherheitvorgaben usw. eine grosse Rolle.
So ist es, aber wie bereits angemerkt: Mit einer AD-Delegierung hat das nichts zu tun.
Gruß, Yusuf Dikmenoglu
