122489
Aug 21, 2015
3562
8
0
Mittels MMC Konsole zur Passwortrücksetzung erstellen
Hallo,
ich würde in unserem Netzwerk einem der Benutzer gerne die Möglichkeit geben, Kennwörter zurückzusetzen. Grundsätzlich sollte das ja mittels mmc funktionieren. Der Terminalserver, auf dem ich arbeite läuft unter Windows 2008; der DC ebenfalls.
Also habe ich mmc gestartet, das Snap-In "ADS Benutzer und Computer" hinzugefügt und unter "Erweitert" dafür gesorgt, das nicht gewünschte Optionen nicht angeboten werden (sprich: Habe alle Haken entfernt).
Danach habe ich bei der OU, die er verwalten soll, "Objektverwaltung zuweisen" angewählt, den Benutzer hinzugefügt und habe ihm das Recht erteilt, Kennwörter zu ändern.
Startet der Benutzer nun die mmc-Datei, öffnet sich mmc mit "Active Directory und Computer" - aber mehr als "Das Snap-In konnte nicht erstellt werden" ist nicht zu sehen.
Woran könnte das liegen? Was habe ich übersehen?
mfg
Jay
ich würde in unserem Netzwerk einem der Benutzer gerne die Möglichkeit geben, Kennwörter zurückzusetzen. Grundsätzlich sollte das ja mittels mmc funktionieren. Der Terminalserver, auf dem ich arbeite läuft unter Windows 2008; der DC ebenfalls.
Also habe ich mmc gestartet, das Snap-In "ADS Benutzer und Computer" hinzugefügt und unter "Erweitert" dafür gesorgt, das nicht gewünschte Optionen nicht angeboten werden (sprich: Habe alle Haken entfernt).
Danach habe ich bei der OU, die er verwalten soll, "Objektverwaltung zuweisen" angewählt, den Benutzer hinzugefügt und habe ihm das Recht erteilt, Kennwörter zu ändern.
Startet der Benutzer nun die mmc-Datei, öffnet sich mmc mit "Active Directory und Computer" - aber mehr als "Das Snap-In konnte nicht erstellt werden" ist nicht zu sehen.
Woran könnte das liegen? Was habe ich übersehen?
mfg
Jay
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 280832
Url: https://administrator.de/contentid/280832
Printed on: April 30, 2024 at 19:04 o'clock
8 Comments
Latest comment
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
- Die Delegation von Berechtigungen
- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Gruß jodel32
Moin Jay,
wir nutzen dafür das Tool "Account Reset Tool" von cjwdev. Funktioniert sehr gut und versteht jeder User.
Im AD haben wir entsprechen die Rechte delegiert.
Gruß,
Dani
wir nutzen dafür das Tool "Account Reset Tool" von cjwdev. Funktioniert sehr gut und versteht jeder User.
Im AD haben wir entsprechen die Rechte delegiert.
Gruß,
Dani
Danke für die zwei Antworten. Das Tool möchte ich nicht verwenden, da ich eigentlich etwas mehr konfigurieren will. Darüberhinaus mag ich mich nicht so gerne auf Tools verlassen.
Die Tipps und Links helfen mir leider nicht weiter. Da steht eigentlich nichts drin, was ich nicht gemacht habe. So weit ich das sehe, ist das delegieren von Rechten das Problem. Wenn ich User1 ein Recht delegiere, müsste ich ja beim nächsten Anlauf, etwas zu delegieren, in der entsprechenden OU sehen, das User1 ein Recht hat. Die entsprechende Liste ist aber immer leer.
Hat noch jemand Ideen?
/edit: Kleines Schmankerl am Ende: Ich habe bereits an einer ADS-Zertifikatsschulung teilgenommen. Schon damals hat das delegieren nicht funktioniert (in einer eigens dafür eingerichteten Testumgebung). Unser Ansprechpartner (der praktisch alle MS-Zertifikate hatte) wusste auch nicht, woran es hakt. Scheint ein größeres Problem zu sein, das öfters auftritt.
Die Tipps und Links helfen mir leider nicht weiter. Da steht eigentlich nichts drin, was ich nicht gemacht habe. So weit ich das sehe, ist das delegieren von Rechten das Problem. Wenn ich User1 ein Recht delegiere, müsste ich ja beim nächsten Anlauf, etwas zu delegieren, in der entsprechenden OU sehen, das User1 ein Recht hat. Die entsprechende Liste ist aber immer leer.
Hat noch jemand Ideen?
/edit: Kleines Schmankerl am Ende: Ich habe bereits an einer ADS-Zertifikatsschulung teilgenommen. Schon damals hat das delegieren nicht funktioniert (in einer eigens dafür eingerichteten Testumgebung). Unser Ansprechpartner (der praktisch alle MS-Zertifikate hatte) wusste auch nicht, woran es hakt. Scheint ein größeres Problem zu sein, das öfters auftritt.
Hat noch jemand Ideen?
Ganz einfach, du hast vergessen dem User Leserechte auf diese OU und dessen Objekte zu vergeben, nur das Recht Kennwörter in dieser OU zurückzusetzen bedeutet noch lange nicht das er den Inhalt der OU lesen kann ! Deswegen ist der Inhalt deiner OU auch leer... Wäre der User jetzt ein Kontenoperator, sähe die Sache anders aus, denn diese User haben für diese Ordner bereits allgemein vererbte Leserechte deswegen erscheinen bei Ihnen auch direkt die User, wohingegen ein simpler User mit "nur" Domain-User Rechten diese allgemeinen Lese-Rechte auf die OUs eben nicht haben. Deswegen muss man Ihm erst ein explizites Leserecht für diese OU erteilen !Also gebe dem User in Active Directory Benutzer und Computer noch das Leserecht, das kannst du ebenfalls über Objektverwaltung zuweisen erledigen, oder aber im Menü unter Ansicht > Erweiterte Features anzeigen und dann mit Rechtsklick auf die OU > Eigenschaften > Sicherheit das Recht hinzufügen !
Die Rechte werden wie bei den NTFS ACLs vergeben. Ist nichts anderes, eben nur für das AD. Objektverwaltung zuweisen macht nichts anderes als diese Rechte zu setzen, nur eben über einen Klicki-Bunti Wizard, das solltest du immer im Hinterkopf behalten, denn der Wizard nimmt einem nicht alles ab. Für Delegation sollte dann doch man schon etwas mehr Hintergrundwissen mitbringen.
Beherzige das, dann lüppt das auch.
@114757
Gruß,
Dani
Ganz einfach, du hast vergessen dem User Leserechte auf diese OU und dessen Objekte zu vergeben
Ich habe mal gelernt, dass jeder authentifizierte Benutzer Leserechte im Active Directory hat oder verwechsel ich das Ganze und es bzieht sich nur auf Abfragen?Gruß,
Dani
Schau in die ACLs der OUs ... Bei selbst erstellen OUs muss man dem User meist noch explizit Leserechte erteilen.
Schau in die ACLs der OUs ...
Hätte ich gemacht...aber ich sitz im Flieger. Daher dachte ich, du kannst meine Frage sicher aus Kopf beantworten. 
Gruß,
Dani
Zitat von @Dani:
> Schau in die ACLs der OUs ...
Hätte ich gemacht...aber ich sitz im Flieger. Daher dachte ich, du kannst meine Frage sicher aus Kopf beantworten.
Mach ich doch, ich sitz auf nem Boot und zisch mir ein helles > Schau in die ACLs der OUs ...
Hätte ich gemacht...aber ich sitz im Flieger. Daher dachte ich, du kannst meine Frage sicher aus Kopf beantworten.
