Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Objektverwaltung AD (Computerkonten)

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

22.02.2010 um 12:56 Uhr, 14707 Aufrufe, 7 Kommentare

1. Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
2. Wie entfernt man eine Objektverwaltung auf Domänenebene?

Hallo,

ich habe ein Skript geschrieben (Batch), das eine beliebige Aktion einmal ausführt und anschließend das Computerkonto verschiebt. Damit kann ich manuell alle Rechner in eine bestimmte OU verschieben, auf welche das erwähnte Skript per Gruppenrichtlinie als Startskript ausgeführt wird, wonach die Rechner - durch Abarbeitung der Batch - automatisch wieder zurück in die alte OU verschoben werden.

Kurzum, auf allen Rechner wird eine Aktion genau nur einmal ausgeführt.

Funktioniert soweit ganz gut, nur leider habe ich noch ein Problem:
der Befehl dsmove funktioniert nur, wenn er mit den entsprechenden Rechten ausgeführt wird. Wenn ich die Batch als Admin ausführe, oder Benutzername und Kennwort in der Batch mitgebe, dann klappt alles, ansonsten schlägt das Verschieben fehl. Also muss ich entweder den Computerkonten das Recht zuweisen, Computerkonten in bestimmten OUs zu Verwalten, oder ich lege einen extra Benutzer an, der nichts kann außer Computerkonten in bestimmten OUs verwalten.

Leider ist in der Objektverwaltung im AD ein solcher Task (beispielsweise Computerkonten verwalten) nicht vordefiniert. Ich habe selbst mal etwas ausprobiert und dem neu erstellten Testbenutzer das Recht gegeben Computerobjekte zu erstellen und löschen, aber in der letzten Maske des Assistenten tauchen dann nochmal Berechtigungen auf, mit denen ich dann wenig anfangen kann. Hier werde ich aufgefordert, Berechtigungen zu setzen, wobei die Objekte "Computer" gar nicht mehr auftauchen. Stattdessen kann ich beispielsweise das Recht lesen/schreiben erteilen, was sich dann aber gleich auf solche Attribute auswirkt, die ich gar nicht miteinbezogen haben möchte (Postfachspeicher etc.).

Daher nochmal in aller Kürze die Frage:
Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?


Frage 2: Über eine Microsoft-Seite wurde der Vorgang für die Verwaltung von Computerkonten angeführt. Dabei ging es um die Erstellung und Löschung von Konten, und der Vorgang der Objektverwaltung wurde in der Erläuterung direkt auf der Domänenebene ausgeführt (nicht auf einer untergeordneten OU). Leider sieht man direkt auf der Domäne keine Lasche "Sicherheit", daher weiß ich jetzt nicht, wie ich das Testkonto hier wieder entfernen kann.

Viele Grüße an Euch alle,
die Kaffeepause

PS: Wen es interessiert:
Die Batch ermittelt über dsquery das eigene Computerkonto und schreibt das Ergebnis in eine temporäre Textdatei.
Diese wird im zweiten Schritt ausgewertet (über findstr wird nach verschiedenen Begriffen gesucht) und Variablen gefüllt (wie Standort).
Im dritten Schritt wird das Computerkonto via dsmove und mit Hilfe der Variablen verschoben.
Nur wenn alle Schritte erfolgreich waren (Prüfung über die Variable errorlevel), wird die anfangs erwähnte einmalige Aktion ausgeführt.

01.
DSQUERY computer -name %computername%>%temp%\dsquery.txt
02.
FINDSTR /C:"London" "%temp%\dsquery.txt"
03.
IF NOT errorlevel 1 SET standort=London
04.
DSMOVE "CN=%computername%,OU=Umstellung,OU=%standort%,DC=firma" -newparent "OU=%standort%,DC=firma"
05.
IF %errorlevel%==0 GOTO aktion
06.
GOTO ende
Mitglied: Kaffeepause
22.02.2010 um 13:10 Uhr
Hallo,

Frage Zwei hat sich erledigt. Die Lasche "Sicherheit" ist doch da. Hab anscheinend vorhin mehrmals nicht richtig geguckt?

Viele Grütze,
Kaffeepause
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 13:26 Uhr
dsmove funktioniert dann, wenn der Benutzer Mitglied der Builtin-Gruppe "Konten-Operatoren" ist.

Ich könnte
a) einen Benutzer anlegen, der Mitglied der Konten-Operatoren ist und in der Batch Benutzername/Passwort hinterlegen (ist dann aber Klartext...)
b) die Domänencomputer zu der Gruppe der Konten-Operatoren hinzufügen (die Batch wird als Startskript ja unter der Kennung des startenden Computerkontos ausgeführt

Momentan neige ich zu B.

Weiß trotzdem jemand die genauen Rechte (nicht mehr und nicht weniger Rechte), die man braucht, um mit dsmove ein Computerkonto zu verschieben?

Viele Grüße,
Kaffeepause
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
22.02.2010 um 13:48 Uhr
Servus,

welche Berechtigungen zum verschieben eines Computerkontos benötigt werden, erfährst du aus dem folgenden Artikel:

[LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent]
http://blog.dikmenoglu.de/Der+Objektdelegierungsassistent.aspx


Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 15:51 Uhr
Hi,

ja, da hätt ich auch noch nachschauen können - dein Blog ist mir bekannt (hervorragende Seite!).

Das, was du dort beschreibst, funktioniert zunächst super.
Template erweitern, dann dieses Template in der Objektverwaltung einsetzen.

Bei mir - in Zusammenhang mit dem dsmove-Befehl - scheint es jedoch nicht zu funktionieren.

  • Als errorlevel für den dsmove-Befehl (der - da er als Startskript aufgerufen wird - mit den Rechten des aktuell startenden Computerkontos ausgeführt wird) erhalte ich die abstruse Zahl -2147024891 (Zugriff verweigert).
  • Gebe ich in der Batchdatei Benutzernamen und Passwort für ein Konto mit, dem ich vorher über die Objektverwaltung die Rechte Computer zu verschieben erteilt habe, erscheint die selbe Fehlermeldung (Zugriff verweigert).
  • Führe ich die Batch entweder als Domänen-Admin aus, oder gebe ich Benutzername/Passwort des Domänen-Admins in der Batch mit, dann funktioniert dsmove (errorlevel 0, dsmove erfolgreich).

Im AD habe ich auch schon die Sicherheit auf die OUs und untergeordneten OUs überprüft: dort steht unter anderem, dass dieser angelegte Benutzer und auch die Comänencomputer das Recht haben, Computerkonten zu löschen/erstellen (+ einige Leserechte mehr). Die Zuweisung über die Objektverwaltung hat also funktioniert. Irgendwie scheint noch ein Recht zu fehlen?

Der - zu Testzwecken angelegte - Benutzer ist mittlerweile Mitglied der Gruppen Domänen-Benutzer und Konten-Operatoren. Was will er denn noch?

Viele Grüße,
dein Directory-Blog ist super!
Bitte warten ..
Mitglied: Kaffeepause
22.02.2010 um 16:15 Uhr
So, noch was ausprobiert:
ich hab die AD-Konsole als Testbenutzer (der, dem die Verwaltungsrechte für Computerkonten erteilt wurden) gestartet und habe dort - per Drag & Drop versucht, ein Computerkonto zu verschieben. Das hat auch nicht funktioniert (Zugriff verweigert).

Es scheinen noch Rechte zu fehlen. Ich weiß nur nicht welche.

Viele Grüße,
die Kaffeepause
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
22.02.2010 um 16:55 Uhr
Hast du auch das Template auf dem Quell- und ZIEL-Container ausgeführt, so wie es in dem von mir verlinkten Artikel beschrieben ist?


Gruß, Yusuf

P.S. Vielen Dank für die Blumen
Bitte warten ..
Mitglied: Kaffeepause
23.02.2010 um 15:47 Uhr
Tut leider immer noch nicht.

Ich hatte das Template zunächst nur auf dem übergeordneten Container ausgeführt, hab aber in den Sicherheitseinstellungen der untergeordneten OUs gesehen (effektive Berechtigungen), dass solche Rechte wie Computerkonto löschen/erstellen dort auftauchten. Daher hatte ich das Template nicht explizit noch einmal auf Quell-/Zielcontainer angewendet.

Jetzt hab ich das nochmal getan, hat aber momentan noch nichts gebracht.

AD-Struktur
<Firma>\<Standort>\Rechner\<Gerätetyp>\Umstellung

In der OU Rechner sind zwei Unter-OUs (Notebooks/Workstations). Dort sind alle Rechner des jeweiligen Standorts drin. Die einmalige Batch wird als Startskript auf der OU "Umstellung" ausgeführt und hat zur Folge, dass die Rechner einfach eine OU nach oben verschoben werden (sollen).

Über das Template habe ich erst der Gruppe "Domänencomputer" die Rechte zum Verschieben von Computerkonten gegeben (und zwar explizit auf jede betroffene OU, auch wenn die untereinander verschachtelt sind und das Recht somit vererbt werden müsste) und dann nochmal das gleich mit dem zu Testzwecken angelegten Benutzeraccount.

Das Skript ist nach wie vor nicht in der Lage, ein Computerkonto über dsmove zu verschieben (-2147024891, Zugriff verweigert). Aber auch wenn ich das Active Directory (ausführen als...) unter der Benutzerkennung dieses Testkontos ausführe und dann einen Computer per Drag&Drop verschieben will, schlägt der Vorgang fehl (Zugriff verweigert). Führe ich das Skript als Domänenadmin aus, oder gebe im Skript Benutzername und Passwort des Domänenadmins mit, dann funktioniert alles.

Insofern sieht es für mich immer noch so aus, als würde da ein Recht fehlen.

Blöde Frage: Klappt es denn bei dir??

Noch ein paar blabla-Details:
Windows Server 2003, Domänen- und Gesamtfunktionsebene Windows Server 2003, eine einzige Domäne, alle Clients XP SP3

Grüße,
Kaffeepause
Bitte warten ..
Ähnliche Inhalte
Windows Server

Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen

gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server

AD Struktur

gelöst Frage von winlinWindows Server8 Kommentare

Hallo Leute, wir planen gerade die AD Struktur und ich habe ein paar Fragen. Aktuelles Beispiel: DOMAIN.COM OU=Standort1 OU=Standort2 ...

Windows Server

AD verstehen

gelöst Frage von homermgWindows Server4 Kommentare

Hey Leute, ich versuche gerade eine AD vom Vorgänger zu analysieren und verstehen. Folgendes habe ich rausgefunden: wir haben ...

Windows Server

AD Aufsetzen

gelöst Frage von WPFORGEWindows Server5 Kommentare

Ich habe mehrere Rechner bei Amazon (EC2). Diese laufen jeweils mit Windows Server 2016. Die IPs sind willkürlich. Nehmen ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 2 TagenWindows 7

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 4 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 5 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 7 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Utilities
Teamviewer 9.x "out of date" ??
gelöst Frage von keine-ahnungUtilities12 Kommentare

Moin at all, mein topaktueller teamviewer (alles 9.x - releases) verweigert seit heute die Arbeit und bemeckert: "the remote ...

Windows Installation
Windows10 Home Neuinstallation - Raketentechnik
Frage von spacyfreakWindows Installation12 Kommentare

"Kannst du den Rechner von der Tante von WindowsXP auf Windows10 Home upgraden" haben sie gefragt? "Sicher, was kann ...

Windows 10
Windows 10 verwendet FritzBox per IPv6 als DNS-Server an Stelle des per DHCP vergebenen DNS-Servers
Frage von Datax87Windows 1010 Kommentare

Hallo, ich habe ein kleines Problem mit der Namensauflösung (DNS) unter Windows 10. Mir ist heute aufgefallen, dass ich ...

Peripheriegeräte
Empfehlung für Home-USV (ca. 450VA 270W) Irgendwelche Osterpreisaktionen bekannt?
Frage von Server-NutzerPeripheriegeräte9 Kommentare

Hallo und schöne Ostern. Meine private Heim-USV Yunto Q450 (ca. 450VA 270W) hat sich nach vielen Jahren ohne Probleme ...