GPO verschieben von Benutzern

Mitglied: AnGi1964

AnGi1964 (Level 1) - Jetzt verbinden

17.01.2021 um 00:11 Uhr, 1113 Aufrufe, 14 Kommentare

Hallo in die Runde!

Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann.

1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?

2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?

Danke für Die Hilfe!
Gruß Andreas
Mitglied: redhorse
17.01.2021 um 08:36 Uhr
Zitat von @AnGi1964:
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?

Was heißt denn als „Admin-Benutzer“? Welche Berechtigung hat der Benutzer im AD?

2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?

Du möchtest, dass ein Benutzer beim Verschieden in eine andere OU andere Sicherheitsgruppen erhält? Ich wüsste nicht wie das gehen soll, was ist denn der Hintergrund dafür? Was soll genau passieren?
Bitte warten ..
Mitglied: jsysde
LÖSUNG 17.01.2021, aktualisiert um 09:54 Uhr
Moin.

Zitat von @AnGi1964:
1. Ich habe bei einem bestehenden System gesehen, das man im AD DC selbst als Admin Benutzer in eine andere (darunter gelegene) OU verschieben konnte, diesen Benutzer aber nicht löschen konnte. Hat da einer einen Lösungsansatz?
In den Eigenschaften des AD-Objekts den Haken bei "Vor versehentlichem Löschen schützen" rausnehmen.

2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Nein.

Cheers,
jsysde

EDITH: Was hat das mit GPOs zu tun?
Bitte warten ..
Mitglied: cykes
17.01.2021 um 10:24 Uhr
Moin,
Zitat von @jsysde:
2. Kann man im AD DC mit geringen Aufwand beim verschieben eines Benutzers von einer in die andere OU auch die Gruppenmitgliedschaft ändern?
Nein.
Doch, aber nicht mit einem Klick, man könnte die (vermutlich wiederkehrenden) Aktionen in einem Powershell-Script verwursten, dort kann man natürlich auch die Gruppenzughörigkeit bearbeiten. Wird aber etwas umfangreicher.

Gruß

cykes
Bitte warten ..
Mitglied: AnGi1964
17.01.2021 um 10:43 Uhr
Was heißt denn als „Admin-Benutzer“? Welche Berechtigung hat der Benutzer im AD?
Ich meinte natürlich den Administrator! Sorry
Hintergrund ist: Ich betreue mehrere Standorte und möchte das Anlegen von Teilnehmern an einen Lehrer delegieren. Er soll neue Teilnehmer (Schüler) anlegen, das Passwort zurücksetzen können und die Teilnehmer in andere Unter-OU´s verschieben können, diese aber nicht löschen können.
(Weiter zur 2. Frage!)

Du möchtest, dass ein Benutzer beim Verschieden in eine andere OU andere Sicherheitsgruppen erhält? Ich wüsste nicht wie das gehen soll, was ist denn der Hintergrund dafür? Was soll genau passieren?

Ich möchte für den Teilnehmern eines Kurses einen kursbezogenen Ordner zur Verfügung stellen. Da Räume und Kurse variieren, kann ich das nicht den Computer zuordnen. Wenn also wie oben beschrieben ein Teilnehmer den Kurs wechselt soll er in die Gruppe des Kurses verschoben werden können und damit auch den entsprechenden Ordner zur Verfügung haben.
Bitte warten ..
Mitglied: AnGi1964
17.01.2021 um 10:47 Uhr
Zitat von @jsysde:
In den Eigenschaften des AD-Objekts den Haken bei "Vor versehentlichem Löschen schützen" rausnehmen.

Wenn ich den Haken rausnehme, dann kann der Benutzer auch gelöscht werden, aber genau das möchte ich ja verhindern! Verschieben ja, löschen nein! Oder habe ich da einen Denkfehler?
Bitte warten ..
Mitglied: cykes
17.01.2021 um 11:08 Uhr
Zitat von @AnGi1964:
Wenn ich den Haken rausnehme, dann kann der Benutzer auch gelöscht werden, aber genau das möchte ich ja verhindern! Verschieben ja, löschen nein! Oder habe ich da einen Denkfehler?
Keinen Denkfehler, aber einen Formulierungsfehler vielleicht. Es hörte sich im Eingangspost so an, als hättest Du Dich darüber gewundert (bzw. beschwert), dass ein Domänen-Admin den Benutzer nicht löschen kann.

Gruß

cykes
Bitte warten ..
Mitglied: jsysde
17.01.2021 um 11:23 Uhr
Mahlzeit.

Zitat von @cykes:
Keinen Denkfehler, aber einen Formulierungsfehler vielleicht. Es hörte sich im Eingangspost so an, als hättest Du Dich darüber gewundert (bzw. beschwert), dass ein Domänen-Admin den Benutzer nicht löschen kann.
Danke. Genau so ^^ hatte ich es verstanden - und entsprechend geantwortet.

@AnGi1964
Zu des Pudels Kern:
Die Anforderung schreit nach AD-Delegation - du erstellst einen User, der _kein!_ Domain-Admin ist und delegierst die Verwaltung des AD an diesen User (oder noch besser: an eine Gruppe, die dann den/die User beinhaltet). Dann kannst du nicht nur das Löschen verhindern, sondern auch festlegen, auf welche OUs überhaupt Zugriff besteht und diesen entsprechend granular regeln.

Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?

Cheers,
jsysde
Bitte warten ..
Mitglied: em-pie
17.01.2021 um 11:37 Uhr
Moin,

Zitat von @jsysde:
@AnGi1964
Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?

Das ist einfach.
Angenommen, es gibt drei Kurse:
  • Nähen und Stricken
  • Backen leicht gemacht
  • Reifenwechseln für ungeübte

Dann existieren auf dem File-Server drei Ordner "irgendwo":
  • NaehenStricken
  • Backen
  • Raeder

Und obendrein hat er nun drei OUs in der übergeordneten OU "Kursteilnehmer" angelegt*
  • NaehenStricken
  • Backen
  • Raeder

verschiebt der Lehrer/ Dozent nun einen User von Backen in Raeder, darf der User keinen Zugriff mehr auf die Daten in Backen haben...



@TO:
Leg am FilerServer einen Ordner "Shares" an
Dann die drei o.g. Unternorder
In drei GPOs definierst du dann, dass beim Login ein Netzlaufwerk verbunden wird, welches dann auf \\myServer\Shares\[Kurs] verweist
diese GPO verknüpfst du mit den o.g. OUs der jeweiligen Kurse

Es fehlen dann allerdings noch die ACLs auf den jeweiligen Ordnern... also ganz rund und Wasserdicht ist das noch nicht....

Gruß
em-pie
Bitte warten ..
Mitglied: jsysde
LÖSUNG 17.01.2021 um 11:46 Uhr
Mahlzeit.

Zitat von @em-pie:
Das ist einfach.[...]
Naja, so hätte ich mir das auch zusammengereimt. Aber ob es tatsächlich so ist kann doch nur der TE sagen?

[...]In drei GPOs definierst du dann, dass beim Login ein Netzlaufwerk verbunden wird, welches dann auf \\myServer\Shares\[Kurs] verweist
Ich hab im Verlauf des Threads noch nix von GPOs gelesen. Natürlich ist mir klar, dass es ein Konstrukt geben muss, das so oder ähnlich aufgebaut ist. Aber auch hier fehlen mir die Infos vom TE...

Abgesehen davon würde ich nur ein Share verwenden, dort ABE aktivieren und das ganze schlicht über NTFS-ACLs regeln. Dann isses völlig boogie, wo im AD das User-Objekt aufgehängt ist. Einzig die Gruppenmitgliedschaft wäre dann maßgeblich. Wobei das auch anders herum klappen würde: Nutzt man ILT innerhalb der GPPs kann man auch im Falle von einzelnen Shares deren Zuweisung über Gruppenmitgliedschaften regeln. Auch hier wäre es völlig wurscht, wo im AD sich das User-Objekt befindet (zumindest fast; es muss schon irgendwo liegen , wo die entsprechende GPO hin verlinkt ist, das ist klar).

Cheers,
jsysde
Bitte warten ..
Mitglied: AnGi1964
17.01.2021 um 17:08 Uhr
Hallo und recht herzlichen Dank Euch für die vielen Antworten.
Ich hätte nicht damit gerechnet, auf einen Sonntag so viele Antworten zu bekommen.
Werde mich morgen ran machen, alles zu testen und melde mich dann noch einmal!
Nochmals Danke an alle!
Bitte warten ..
Mitglied: AnGi1964
18.01.2021 um 20:24 Uhr
Zitat von @em-pie:

Danke Dir, habe ich so umgesetzt,



Es fehlen dann allerdings noch die ACLs auf den jeweiligen Ordnern... also ganz rund und Wasserdicht ist das noch nicht....

Gruß
em-pie

Ja, da aber alle Teilnehmer in einer Gruppe sind, kann ich doch nicht unterschiedliche Berechtigungen vergeben.
Darauf zielte meine Frage ab, beim verschieben der Teilnehmers in eine Unter-OU auch die Gruppenmitgliedschaft zu ändern!
Bitte warten ..
Mitglied: AnGi1964
18.01.2021 um 20:26 Uhr
Zitat von @jsysde:

Zu des Pudels Kern:
Die Anforderung schreit nach AD-Delegation - du erstellst einen User, der _kein!_ Domain-Admin ist und delegierst die Verwaltung des AD an diesen User (oder noch besser: an eine Gruppe, die dann den/die User beinhaltet). Dann kannst du nicht nur das Löschen verhindern, sondern auch festlegen, auf welche OUs überhaupt Zugriff besteht und diesen entsprechend granular regeln.

Das Konstrukt mit der Ordner-Zuweisung hab' ich nicht verstanden. Was haben die Berechtigungen im Filesystem mit der Position des Objekts im AD zu tun? Und um nochmal auf den Titel des Threads zurückzukommen: Was hat das alles mit GPOs zu tun?

Cheers,
jsysde

Danke, habe ich soweit auch so gemeint, aber wie kann ich das Verschieben erlauben und das Löschen verhindern?
Bitte warten ..
Mitglied: jsysde
19.01.2021 um 20:07 Uhr
N'Abend.

Zitat von @AnGi1964:
[...]aber wie kann ich das Verschieben erlauben und das Löschen verhindern?
Die Antwort steht doch schon oben: Delegation.
Ich liefere dir mal den ersten google-Treffer für eine entsprechende Suche:
https://blog.wydler.eu/2015/04/29/delegierung-von-rechten-im-active-dire ...

Anleitungen und HowTos zum Thema gibt's wie Sand am Meer, das muss jetzt hier keiner reinkopieren. ;-) face-wink

Cheers,
jsysde
Bitte warten ..
Mitglied: AnGi1964
19.01.2021 um 23:09 Uhr
Zitat von @jsysde:

N'Abend.

Zitat von @AnGi1964:
[...]aber wie kann ich das Verschieben erlauben und das Löschen verhindern?
Die Antwort steht doch schon oben: Delegation.
Ich liefere dir mal den ersten google-Treffer für eine entsprechende Suche:
https://blog.wydler.eu/2015/04/29/delegierung-von-rechten-im-active-dire ...

Anleitungen und HowTos zum Thema gibt's wie Sand am Meer, das muss jetzt hier keiner reinkopieren. ;-) face-wink

Cheers,
jsysde

WER LESEN KANN IST KLAR IM VORTEIL! (ich manchmal wohl nicht!)
Einfach zu viel am testen!! Ich bin betriebsblind!!! und muss mal eine Pause machen!
Ich habe diese Einträge einige Male durchgelesen und wohl immer über das Wichtigste drüber weg gelesen!
Ich Danke Dir recht herzlich!!
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 1 TagFrageWindows 1016 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Windows Netzwerk
Telefone im Netzwerk bekannt machen
jannik0205Vor 1 TagFrageWindows Netzwerk13 Kommentare

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Microsoft
Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys
kgbornVor 1 TagInformationMicrosoft4 Kommentare

Nur zu Info für die Käufer der eBay-Schnäppchen - neuer Fall Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys

Windows Netzwerk
WTS-Anmeldung per RDP am Wochenende verbieten?
MuM2810Vor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo zusammen, wir haben bei uns Windows Server 2016 mit 2 Terminal Servern im Einsatz. Wie aus dem Titel schon ersichtlich ist, ist bei ...

Microsoft
Microsoft Teams - "bitte wenden Sie sich an (. . .) um Teams für "domäne" zu aktivieren" nur bei einem Benutzer
eastfrisianVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen! Wir haben bei uns Teams als Hybridversion eingeführt (Exchange on premise, AD-Sync in die Cloud) und nutzen Teams über das basic-Abonnement. Während ...

Netzwerke
Keine Versand von Mails von der Firmen zur Privaten E-Mailadresse möglich
blaub33r3Vor 1 TagFrageNetzwerke6 Kommentare

Hallo zusammen, wieso kommt der User keine Mails mehr? Der Sender wird als Spamer betrachtet? 1. Mailing an andere Privaten Adressen / Firmen Adressen ...

Netzwerke
Netzwerklaufwerk - Nur Lesen (Streamen)
CryexXVor 1 TagFrageNetzwerke8 Kommentare

Hallo, ich hab mal ne Frage und hoffe auf Lösung. Mir schießt aktuell keine in den Kopf :( Ich möchte ein Netzlaufwerk freigeben. Auf ...

Router & Routing
Vodafone Kabel: Eigenen Router an den Kabelanschluss oder einen WLAN-Router ohne Modem hinter die Vodafone Station?
DyingWordsVor 1 TagFrageRouter & Routing6 Kommentare

Hallo zusammen, da wir demnächst in eine Wohnung mit Kabelanschluss von Vodafone einziehen werden, frage ich mich, ob es sinnvoller ist einen eigenen Router ...