14
GPO verschieben von Benutzern
Hallo in die Runde!
Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann.
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Danke für Die Hilfe!
Gruß Andreas
Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann.
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Danke für Die Hilfe!
Gruß Andreas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 641020
Url: https://administrator.de/forum/gpo-verschieben-von-benutzern-641020.html
Ausgedruckt am: 07.04.2025 um 23:04 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @AnGi1964:
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
Was heißt denn als „Admin-Benutzer“? Welche Berechtigung hat der Benutzer im AD?
2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Du möchtest, dass ein Benutzer beim Verschieden in eine andere OU andere Sicherheitsgruppen erhält? Ich wüsste nicht wie das gehen soll, was ist denn der Hintergrund dafür? Was soll genau passieren?
Moin.
Cheers,
jsysde
EDITH: Was hat das mit GPOs zu tun?
Zitat von @AnGi1964:
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
In den Eigenschaften des AD-Objekts den Haken bei "Vor versehentlichem Löschen schützen" rausnehmen.1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Nein.Cheers,
jsysde
EDITH: Was hat das mit GPOs zu tun?
Moin,
Gruß
cykes
Zitat von @jsysde:
Doch, aber nicht mit einem Klick, man könnte die (vermutlich wiederkehrenden) Aktionen in einem Powershell-Script verwursten, dort kann man natürlich auch die Gruppenzughörigkeit bearbeiten. Wird aber etwas umfangreicher.2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Nein.Gruß
cykes
Was heißt denn als „Admin-Benutzer“? Welche Berechtigung hat der Benutzer im AD?
Ich meinte natürlich den Administrator! SorryHintergrund ist: Ich betreue mehrere Standorte und möchte das Anlegen von Teilnehmern an einen Lehrer delegieren. Er soll neue Teilnehmer (Schüler) anlegen, das Passwort zurücksetzen können und die Teilnehmer in andere Unter-OU´s verschieben können, diese aber nicht löschen können.
(Weiter zur 2. Frage!)
Du möchtest, dass ein Benutzer beim Verschieden in eine andere OU andere Sicherheitsgruppen erhält? Ich wüsste nicht wie das gehen soll, was ist denn der Hintergrund dafür? Was soll genau passieren?
Ich möchte für den Teilnehmern eines Kurses einen kursbezogenen Ordner zur Verfügung stellen. Da Räume und Kurse variieren, kann ich das nicht den Computer zuordnen. Wenn also wie oben beschrieben ein Teilnehmer den Kurs wechselt soll er in die Gruppe des Kurses verschoben werden können und damit auch den entsprechenden Ordner zur Verfügung haben.
Zitat von @jsysde:
In den Eigenschaften des AD-Objekts den Haken bei "Vor versehentlichem Löschen schützen" rausnehmen.
In den Eigenschaften des AD-Objekts den Haken bei "Vor versehentlichem Löschen schützen" rausnehmen.
Wenn ich den Haken rausnehme, dann kann der Benutzer auch gelöscht werden, aber genau das möchte ich ja verhindern! Verschieben ja, löschen nein! Oder habe ich da einen Denkfehler?
Zitat von @AnGi1964:
Wenn ich den Haken rausnehme, dann kann der Benutzer auch gelöscht werden, aber genau das möchte ich ja verhindern! Verschieben ja, löschen nein! Oder habe ich da einen Denkfehler?
Keinen Denkfehler, aber einen Formulierungsfehler vielleicht. Es hörte sich im Eingangspost so an, als hättest Du Dich darüber gewundert (bzw. beschwert), dass ein Domänen-Admin den Benutzer nicht löschen kann.Wenn ich den Haken rausnehme, dann kann der Benutzer auch gelöscht werden, aber genau das möchte ich ja verhindern! Verschieben ja, löschen nein! Oder habe ich da einen Denkfehler?
Gruß
cykes
Mahlzeit.
@AnGi1964
Zu des Pudels Kern:
Die Anforderung schreit nach AD-Delegation - du erstellst einen User, der _kein!_ Domain-Admin ist und delegierst die Verwaltung des AD an diesen User (oder noch besser: an eine Gruppe, die dann den/die User beinhaltet). Dann kannst du nicht nur das Löschen verhindern, sondern auch festlegen, auf welche OUs überhaupt Zugriff besteht und diesen entsprechend granular regeln.
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?
Cheers,
jsysde
Zitat von @cykes:
Keinen Denkfehler, aber einen Formulierungsfehler vielleicht. Es hörte sich im Eingangspost so an, als hättest Du Dich darüber gewundert (bzw. beschwert), dass ein Domänen-Admin den Benutzer nicht löschen kann.
Danke. Genau so ^^ hatte ich es verstanden - und entsprechend geantwortet.Keinen Denkfehler, aber einen Formulierungsfehler vielleicht. Es hörte sich im Eingangspost so an, als hättest Du Dich darüber gewundert (bzw. beschwert), dass ein Domänen-Admin den Benutzer nicht löschen kann.
@AnGi1964
Zu des Pudels Kern:
Die Anforderung schreit nach AD-Delegation - du erstellst einen User, der _kein!_ Domain-Admin ist und delegierst die Verwaltung des AD an diesen User (oder noch besser: an eine Gruppe, die dann den/die User beinhaltet). Dann kannst du nicht nur das Löschen verhindern, sondern auch festlegen, auf welche OUs überhaupt Zugriff besteht und diesen entsprechend granular regeln.
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?
Cheers,
jsysde
Moin,
Das ist einfach.
Angenommen, es gibt drei Kurse:
Dann existieren auf dem File-Server drei Ordner "irgendwo":
Und obendrein hat er nun drei OUs in der übergeordneten OU "Kursteilnehmer" angelegt*
verschiebt der Lehrer/ Dozent nun einen User von Backen in Raeder, darf der User keinen Zugriff mehr auf die Daten in Backen haben...
@to:
Leg am FilerServer einen Ordner "Shares" an
Dann die drei o.g. Unternorder
In drei GPOs definierst du dann, dass beim Login ein Netzlaufwerk verbunden wird, welches dann auf \\myServer\Shares\[Kurs] verweist
diese GPO verknüpfst du mit den o.g. OUs der jeweiligen Kurse
Es fehlen dann allerdings noch die ACLs auf den jeweiligen Ordnern... also ganz rund und Wasserdicht ist das noch nicht....
Gruß
em-pie
Zitat von @jsysde:
@AnGi1964
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?
@AnGi1964
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?
Das ist einfach.
Angenommen, es gibt drei Kurse:
- Nähen und Stricken
- Backen leicht gemacht
- Reifenwechseln für ungeübte
Dann existieren auf dem File-Server drei Ordner "irgendwo":
- NaehenStricken
- Backen
- Raeder
Und obendrein hat er nun drei OUs in der übergeordneten OU "Kursteilnehmer" angelegt*
- NaehenStricken
- Backen
- Raeder
verschiebt der Lehrer/ Dozent nun einen User von Backen in Raeder, darf der User keinen Zugriff mehr auf die Daten in Backen haben...
@to:
Leg am FilerServer einen Ordner "Shares" an
Dann die drei o.g. Unternorder
In drei GPOs definierst du dann, dass beim Login ein Netzlaufwerk verbunden wird, welches dann auf \\myServer\Shares\[Kurs] verweist
diese GPO verknüpfst du mit den o.g. OUs der jeweiligen Kurse
Es fehlen dann allerdings noch die ACLs auf den jeweiligen Ordnern... also ganz rund und Wasserdicht ist das noch nicht....
Gruß
em-pie
Mahlzeit.
Naja, so hätte ich mir das auch zusammengereimt. Aber ob es tatsächlich so ist kann doch nur der TE sagen?
Abgesehen davon würde ich nur ein Share verwenden, dort ABE aktivieren und das ganze schlicht über NTFS-ACLs regeln. Dann isses völlig boogie, wo im AD das User-Objekt aufgehängt ist. Einzig die Gruppenmitgliedschaft wäre dann maßgeblich. Wobei das auch anders herum klappen würde: Nutzt man ILT innerhalb der GPPs kann man auch im Falle von einzelnen Shares deren Zuweisung über Gruppenmitgliedschaften regeln. Auch hier wäre es völlig wurscht, wo im AD sich das User-Objekt befindet (zumindest fast; es muss schon irgendwo liegen , wo die entsprechende GPO hin verlinkt ist, das ist klar).
Cheers,
jsysde
Naja, so hätte ich mir das auch zusammengereimt. Aber ob es tatsächlich so ist kann doch nur der TE sagen?
[...]In drei GPOs definierst du dann, dass beim Login ein Netzlaufwerk verbunden wird, welches dann auf \\myServer\Shares\[Kurs] verweist
Ich hab im Verlauf des Threads noch nix von GPOs gelesen. Natürlich ist mir klar, dass es ein Konstrukt geben muss, das so oder ähnlich aufgebaut ist. Aber auch hier fehlen mir die Infos vom TE...Abgesehen davon würde ich nur ein Share verwenden, dort ABE aktivieren und das ganze schlicht über NTFS-ACLs regeln. Dann isses völlig boogie, wo im AD das User-Objekt aufgehängt ist. Einzig die Gruppenmitgliedschaft wäre dann maßgeblich. Wobei das auch anders herum klappen würde: Nutzt man ILT innerhalb der GPPs kann man auch im Falle von einzelnen Shares deren Zuweisung über Gruppenmitgliedschaften regeln. Auch hier wäre es völlig wurscht, wo im AD sich das User-Objekt befindet (zumindest fast; es muss schon irgendwo liegen , wo die entsprechende GPO hin verlinkt ist, das ist klar).
Cheers,
jsysde
Hallo und recht herzlichen Dank Euch für die vielen Antworten.
Ich hätte nicht damit gerechnet, auf einen Sonntag so viele Antworten zu bekommen.
Werde mich morgen ran machen, alles zu testen und melde mich dann noch einmal!
Nochmals Danke an alle!
Ich hätte nicht damit gerechnet, auf einen Sonntag so viele Antworten zu bekommen.
Werde mich morgen ran machen, alles zu testen und melde mich dann noch einmal!
Nochmals Danke an alle!
Danke Dir, habe ich so umgesetzt,
Ja, da aber alle Teilnehmer in einer Gruppe sind, kann ich doch nicht unterschiedliche Berechtigungen vergeben.
Darauf zielte meine Frage ab, beim verschieben der Teilnehmers in eine Unter-OU auch die Gruppenmitgliedschaft zu ändern!
Es fehlen dann allerdings noch die ACLs auf den jeweiligen Ordnern... also ganz rund und Wasserdicht ist das noch nicht....
Gruß
em-pie
Gruß
em-pie
Ja, da aber alle Teilnehmer in einer Gruppe sind, kann ich doch nicht unterschiedliche Berechtigungen vergeben.
Darauf zielte meine Frage ab, beim verschieben der Teilnehmers in eine Unter-OU auch die Gruppenmitgliedschaft zu ändern!
Zitat von @jsysde:
Zu des Pudels Kern:
Die Anforderung schreit nach AD-Delegation - du erstellst einen User, der _kein!_ Domain-Admin ist und delegierst die Verwaltung des AD an diesen User (oder noch besser: an eine Gruppe, die dann den/die User beinhaltet). Dann kannst du nicht nur das Löschen verhindern, sondern auch festlegen, auf welche OUs überhaupt Zugriff besteht und diesen entsprechend granular regeln.
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?
Cheers,
jsysde
Zu des Pudels Kern:
Die Anforderung schreit nach AD-Delegation - du erstellst einen User, der _kein!_ Domain-Admin ist und delegierst die Verwaltung des AD an diesen User (oder noch besser: an eine Gruppe, die dann den/die User beinhaltet). Dann kannst du nicht nur das Löschen verhindern, sondern auch festlegen, auf welche OUs überhaupt Zugriff besteht und diesen entsprechend granular regeln.
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?
Cheers,
jsysde
Danke, habe ich soweit auch so gemeint, aber wie kann ich das Verschieben erlauben und das Löschen verhindern?
N'Abend.
Die Antwort steht doch schon oben: Delegation.
Ich liefere dir mal den ersten google-Treffer für eine entsprechende Suche:
https://blog.wydler.eu/2015/04/29/delegierung-von-rechten-im-active-dire ...
Anleitungen und HowTos zum Thema gibt's wie Sand am Meer, das muss jetzt hier keiner reinkopieren.
Cheers,
jsysde
Die Antwort steht doch schon oben: Delegation.
Ich liefere dir mal den ersten google-Treffer für eine entsprechende Suche:
https://blog.wydler.eu/2015/04/29/delegierung-von-rechten-im-active-dire ...
Anleitungen und HowTos zum Thema gibt's wie Sand am Meer, das muss jetzt hier keiner reinkopieren.
Cheers,
jsysde
Zitat von @jsysde:
N'Abend.
Die Antwort steht doch schon oben: Delegation.
Ich liefere dir mal den ersten google-Treffer für eine entsprechende Suche:
https://blog.wydler.eu/2015/04/29/delegierung-von-rechten-im-active-dire ...
Anleitungen und HowTos zum Thema gibt's wie Sand am Meer, das muss jetzt hier keiner reinkopieren.
Cheers,
jsysde
N'Abend.
Die Antwort steht doch schon oben: Delegation.
Ich liefere dir mal den ersten google-Treffer für eine entsprechende Suche:
https://blog.wydler.eu/2015/04/29/delegierung-von-rechten-im-active-dire ...
Anleitungen und HowTos zum Thema gibt's wie Sand am Meer, das muss jetzt hier keiner reinkopieren.
Cheers,
jsysde
WER LESEN KANN IST KLAR IM VORTEIL! (ich manchmal wohl nicht!)
Einfach zu viel am testen!! Ich bin betriebsblind!!! und muss mal eine Pause machen!
Ich habe diese Einträge einige Male durchgelesen und wohl immer über das Wichtigste drüber weg gelesen!
Ich Danke Dir recht herzlich!!
