kaffeepause
Goto Top

Objektverwaltung AD (Computerkonten)

1. Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
2. Wie entfernt man eine Objektverwaltung auf Domänenebene?

Hallo,

ich habe ein Skript geschrieben (Batch), das eine beliebige Aktion einmal ausführt und anschließend das Computerkonto verschiebt. Damit kann ich manuell alle Rechner in eine bestimmte OU verschieben, auf welche das erwähnte Skript per Gruppenrichtlinie als Startskript ausgeführt wird, wonach die Rechner - durch Abarbeitung der Batch - automatisch wieder zurück in die alte OU verschoben werden.

Kurzum, auf allen Rechner wird eine Aktion genau nur einmal ausgeführt.

Funktioniert soweit ganz gut, nur leider habe ich noch ein Problem:
der Befehl dsmove funktioniert nur, wenn er mit den entsprechenden Rechten ausgeführt wird. Wenn ich die Batch als Admin ausführe, oder Benutzername und Kennwort in der Batch mitgebe, dann klappt alles, ansonsten schlägt das Verschieben fehl. Also muss ich entweder den Computerkonten das Recht zuweisen, Computerkonten in bestimmten OUs zu Verwalten, oder ich lege einen extra Benutzer an, der nichts kann außer Computerkonten in bestimmten OUs verwalten.

Leider ist in der Objektverwaltung im AD ein solcher Task (beispielsweise Computerkonten verwalten) nicht vordefiniert. Ich habe selbst mal etwas ausprobiert und dem neu erstellten Testbenutzer das Recht gegeben Computerobjekte zu erstellen und löschen, aber in der letzten Maske des Assistenten tauchen dann nochmal Berechtigungen auf, mit denen ich dann wenig anfangen kann. Hier werde ich aufgefordert, Berechtigungen zu setzen, wobei die Objekte "Computer" gar nicht mehr auftauchen. Stattdessen kann ich beispielsweise das Recht lesen/schreiben erteilen, was sich dann aber gleich auf solche Attribute auswirkt, die ich gar nicht miteinbezogen haben möchte (Postfachspeicher etc.).

Daher nochmal in aller Kürze die Frage:
Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?


Frage 2: Über eine Microsoft-Seite wurde der Vorgang für die Verwaltung von Computerkonten angeführt. Dabei ging es um die Erstellung und Löschung von Konten, und der Vorgang der Objektverwaltung wurde in der Erläuterung direkt auf der Domänenebene ausgeführt (nicht auf einer untergeordneten OU). Leider sieht man direkt auf der Domäne keine Lasche "Sicherheit", daher weiß ich jetzt nicht, wie ich das Testkonto hier wieder entfernen kann.

Viele Grüße an Euch alle,
die Kaffeepause

PS: Wen es interessiert:
Die Batch ermittelt über dsquery das eigene Computerkonto und schreibt das Ergebnis in eine temporäre Textdatei.
Diese wird im zweiten Schritt ausgewertet (über findstr wird nach verschiedenen Begriffen gesucht) und Variablen gefüllt (wie Standort).
Im dritten Schritt wird das Computerkonto via dsmove und mit Hilfe der Variablen verschoben.
Nur wenn alle Schritte erfolgreich waren (Prüfung über die Variable errorlevel), wird die anfangs erwähnte einmalige Aktion ausgeführt.

DSQUERY computer -name %computername%>%temp%\dsquery.txt
FINDSTR /C:"London" "%temp%\dsquery.txt"  
IF NOT errorlevel 1 SET standort=London
DSMOVE "CN=%computername%,OU=Umstellung,OU=%standort%,DC=firma" -newparent "OU=%standort%,DC=firma"  
IF %errorlevel%==0 GOTO aktion
GOTO ende

Content-ID: 136559

Url: https://administrator.de/forum/objektverwaltung-ad-computerkonten-136559.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

Kaffeepause
Kaffeepause 22.02.2010 um 13:10:32 Uhr
Goto Top
Hallo,

Frage Zwei hat sich erledigt. Die Lasche "Sicherheit" ist doch da. Hab anscheinend vorhin mehrmals nicht richtig geguckt?

Viele Grütze,
Kaffeepause
Kaffeepause
Kaffeepause 22.02.2010 um 13:26:30 Uhr
Goto Top
dsmove funktioniert dann, wenn der Benutzer Mitglied der Builtin-Gruppe "Konten-Operatoren" ist.

Ich könnte
a) einen Benutzer anlegen, der Mitglied der Konten-Operatoren ist und in der Batch Benutzername/Passwort hinterlegen (ist dann aber Klartext...)
b) die Domänencomputer zu der Gruppe der Konten-Operatoren hinzufügen (die Batch wird als Startskript ja unter der Kennung des startenden Computerkontos ausgeführt

Momentan neige ich zu B.

Weiß trotzdem jemand die genauen Rechte (nicht mehr und nicht weniger Rechte), die man braucht, um mit dsmove ein Computerkonto zu verschieben?

Viele Grüße,
Kaffeepause
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 22.02.2010 um 13:48:30 Uhr
Goto Top
Servus,

welche Berechtigungen zum verschieben eines Computerkontos benötigt werden, erfährst du aus dem folgenden Artikel:

[LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent]
http://blog.dikmenoglu.de/Der+Objektdelegierungsassistent.aspx


Viele Grüße
/ > Yusuf Dikmenoglu
Kaffeepause
Kaffeepause 22.02.2010 um 15:51:07 Uhr
Goto Top
Hi,

ja, da hätt ich auch noch nachschauen können - dein Blog ist mir bekannt (hervorragende Seite!).

Das, was du dort beschreibst, funktioniert zunächst super.
Template erweitern, dann dieses Template in der Objektverwaltung einsetzen.

Bei mir - in Zusammenhang mit dem dsmove-Befehl - scheint es jedoch nicht zu funktionieren.

  • Als errorlevel für den dsmove-Befehl (der - da er als Startskript aufgerufen wird - mit den Rechten des aktuell startenden Computerkontos ausgeführt wird) erhalte ich die abstruse Zahl -2147024891 (Zugriff verweigert).
  • Gebe ich in der Batchdatei Benutzernamen und Passwort für ein Konto mit, dem ich vorher über die Objektverwaltung die Rechte Computer zu verschieben erteilt habe, erscheint die selbe Fehlermeldung (Zugriff verweigert).
  • Führe ich die Batch entweder als Domänen-Admin aus, oder gebe ich Benutzername/Passwort des Domänen-Admins in der Batch mit, dann funktioniert dsmove (errorlevel 0, dsmove erfolgreich).

Im AD habe ich auch schon die Sicherheit auf die OUs und untergeordneten OUs überprüft: dort steht unter anderem, dass dieser angelegte Benutzer und auch die Comänencomputer das Recht haben, Computerkonten zu löschen/erstellen (+ einige Leserechte mehr). Die Zuweisung über die Objektverwaltung hat also funktioniert. Irgendwie scheint noch ein Recht zu fehlen?

Der - zu Testzwecken angelegte - Benutzer ist mittlerweile Mitglied der Gruppen Domänen-Benutzer und Konten-Operatoren. Was will er denn noch?

Viele Grüße,
dein Directory-Blog ist super!
Kaffeepause
Kaffeepause 22.02.2010 um 16:15:16 Uhr
Goto Top
So, noch was ausprobiert:
ich hab die AD-Konsole als Testbenutzer (der, dem die Verwaltungsrechte für Computerkonten erteilt wurden) gestartet und habe dort - per Drag & Drop versucht, ein Computerkonto zu verschieben. Das hat auch nicht funktioniert (Zugriff verweigert).

Es scheinen noch Rechte zu fehlen. Ich weiß nur nicht welche.

Viele Grüße,
die Kaffeepause
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 22.02.2010 um 16:55:59 Uhr
Goto Top
Hast du auch das Template auf dem Quell- und ZIEL-Container ausgeführt, so wie es in dem von mir verlinkten Artikel beschrieben ist?


Gruß, Yusuf

P.S. Vielen Dank für die Blumen
Kaffeepause
Kaffeepause 23.02.2010 um 15:47:47 Uhr
Goto Top
Tut leider immer noch nicht.

Ich hatte das Template zunächst nur auf dem übergeordneten Container ausgeführt, hab aber in den Sicherheitseinstellungen der untergeordneten OUs gesehen (effektive Berechtigungen), dass solche Rechte wie Computerkonto löschen/erstellen dort auftauchten. Daher hatte ich das Template nicht explizit noch einmal auf Quell-/Zielcontainer angewendet.

Jetzt hab ich das nochmal getan, hat aber momentan noch nichts gebracht.

AD-Struktur
<Firma>\<Standort>\Rechner\<Gerätetyp>\Umstellung

In der OU Rechner sind zwei Unter-OUs (Notebooks/Workstations). Dort sind alle Rechner des jeweiligen Standorts drin. Die einmalige Batch wird als Startskript auf der OU "Umstellung" ausgeführt und hat zur Folge, dass die Rechner einfach eine OU nach oben verschoben werden (sollen).

Über das Template habe ich erst der Gruppe "Domänencomputer" die Rechte zum Verschieben von Computerkonten gegeben (und zwar explizit auf jede betroffene OU, auch wenn die untereinander verschachtelt sind und das Recht somit vererbt werden müsste) und dann nochmal das gleich mit dem zu Testzwecken angelegten Benutzeraccount.

Das Skript ist nach wie vor nicht in der Lage, ein Computerkonto über dsmove zu verschieben (-2147024891, Zugriff verweigert). Aber auch wenn ich das Active Directory (ausführen als...) unter der Benutzerkennung dieses Testkontos ausführe und dann einen Computer per Drag&Drop verschieben will, schlägt der Vorgang fehl (Zugriff verweigert). Führe ich das Skript als Domänenadmin aus, oder gebe im Skript Benutzername und Passwort des Domänenadmins mit, dann funktioniert alles.

Insofern sieht es für mich immer noch so aus, als würde da ein Recht fehlen.

Blöde Frage: Klappt es denn bei dir??

Noch ein paar blabla-Details:
Windows Server 2003, Domänen- und Gesamtfunktionsebene Windows Server 2003, eine einzige Domäne, alle Clients XP SP3

Grüße,
Kaffeepause