wollowitz
Goto Top

Send as Berechtigung berechtigen?!

Ich stehe vor dem Problem einzelnen AD Usern das Recht geben zu müssen die Senden als funktion für Postfächer konfigurieren zu dürfen.

Ich habe einige Operator welche diese Funktion für die Postfächer konfigurieren dürfen sollen.
Der Vollzugriff kann konfiguriert werden, nicht aber die einzelne funktion Senden als

Die Funktion ist eine AD Computer Objekt Berechtigung welche auch per ADSI Explorer vergeben werden kann. Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.

Vielen Dank für eure Tipps und Hilfen im Vorraus.
berechtigung

Content-ID: 1242863329

Url: https://administrator.de/forum/send-as-berechtigung-berechtigen-1242863329.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

149062
149062 09.09.2021 aktualisiert um 13:54:39 Uhr
Goto Top
Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Nennt sich Delegation und kannst du über die ACLs der AD-Objekte bzw. OUs/Container setzen face-wink. In der ADUC MMC Rechtsklick auf den Container, Objektverwaltung zuweisen, oder direkt über Eigenschaften > Sicherheit.

screenshot
Wollowitz
Wollowitz 09.09.2021 um 14:07:34 Uhr
Goto Top
Danke dir evoplus,
leider ist das noch nicht genau die Lösung.
Wenn ich das so delegiere Kann ich als Mitglied der Gruppe dir_UserAdmin (diese ist delegiert).

Selber das Feature "Senden als" nutzen, und zwar für alle Untergeordneten Objekte.

Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.

Momentan passiert sonst genau das (Bild)
berechtigung2
149062
149062 09.09.2021 aktualisiert um 14:22:25 Uhr
Goto Top
Zitat von @Wollowitz:
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Gut das ging aus deiner Beschreibung leider nicht eindeutig hervor. Dann musst du die Gruppe dazu berechtigen die ACLs (Berechtigungen) der jeweiligen Objekte zu bearbeiten ("Berechtigungen ändern" Recht). Das kannst du aber nicht nur auf das SendenAls anwenden, die User können dann auch andere Rechteeinträge der jew. Objekte ändern.
NixVerstehen
NixVerstehen 09.09.2021 um 14:19:41 Uhr
Goto Top
@Wollowitz

Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
Wollowitz
Wollowitz 09.09.2021 um 14:54:46 Uhr
Goto Top
Zitat von @NixVerstehen:

@Wollowitz

Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?


Genau so wünsch ich mir das
Wollowitz
Wollowitz 09.09.2021 um 14:56:51 Uhr
Goto Top
Zitat von @149062:

Zitat von @Wollowitz:
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Gut das ging aus deiner Beschreibung leider nicht eindeutig hervor. Dann musst du die Gruppe dazu berechtigen die ACLs (Berechtigungen) der jeweiligen Objekte zu bearbeiten ("Berechtigungen ändern" Recht). Das kannst du aber nicht nur auf das SendenAls anwenden, die User können dann auch andere Rechteeinträge der jew. Objekte ändern.

Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss, und was könnten die Berechtigten dann noch zusätlich neben dem "senden als" ändern?
149062
149062 09.09.2021 aktualisiert um 15:30:34 Uhr
Goto Top
Zitat von @Wollowitz:
Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss,
"Berechtigungen ändern"
und was könnten die Berechtigten dann noch zusätlich neben dem "senden als" ändern?
Sämtliche Berechtigungen/ACLs der ausgewählten/definierten Objekte ändern.

Es gibt keine Option das einem nur das Recht gibt ein bestimmtes Recht einer ACL hinzuzufügen, entweder der jenige kann die ACLs der gwünschten Objekte ändern, mit allen Konsequenzen, oder eben nicht.
NixVerstehen
NixVerstehen 09.09.2021 um 15:35:23 Uhr
Goto Top
Und das ist genau auch der Punkt, warum ich mir solch ein Konstrukt nicht antun würde. Das endet dann aufgrund der Bequemlichkeit der Nutzer damit, das jeder im Namen eines anderen schreiben kann. Dann kannst du für den ganzen Laden gleich ein freigegebenen Postfach einrichten face-smile
Wollowitz
Wollowitz 09.09.2021 um 16:45:30 Uhr
Goto Top
na Spitze...

aber jetzt hab ichs verstanden. Danke euch.

Es gibt faktisch nur die Variante auf das zu bearbeitenede Objekt zu begrenzen, in dem Falll auf die Computer, aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?

Also doch Tool schreiben das nur diese Option Einstellen lässt, mit hard codiertem Berechtigtem User im Bauch, sicher Ablegen und Zugang beschränken...

Ich dachte das haben wir hinter uns.
149062
149062 09.09.2021 aktualisiert um 16:59:57 Uhr
Goto Top
Zitat von @Wollowitz:
aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Hier geht es um Berechtigungen. Und da Berechtigungen neue/bestehende ACLs umfassen die wiederum Attribute enthalten können kann derjenige eine ACL erstellen die ihm das eben ermöglicht.
Computerattribute (eben auch "senden als")
"Senden als" ist eine erweiterte Berechtigung kein Attribut.
Wollowitz
Wollowitz 09.09.2021 um 17:08:45 Uhr
Goto Top
Zitat von @149062:

Zitat von @Wollowitz:
aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Hier geht es um Berechtigungen. Und da Berechtigungen neue/bestehende ACLs umfassen die wiederum Attribute enthalten können kann derjenige eine ACL erstellen die ihm das eben ermöglicht.

Wenn ich die Vergabe von Berechtigungen auf die Computerobjekte beschränke kann er sich doch dann keine weiteren Rechte geben, oder? Er kann nur die Rechte der Computer ändern... Oder meinst du er könnte den Computerobjekten dann Vollberechtigung zur Bearbeitung aller Objekte geben und dann als Computerobjekt auch sich als Benutzer weitere Rechte zuteilen?

Computerattribute (eben auch "senden als")
"Senden als" ist eine erweiterte Berechtigung kein Attribut.
Dann kann man die Konfiguration erweiterter Berechtigungen generell nicht einzeln delegieren?
149062
149062 09.09.2021 aktualisiert um 18:23:42 Uhr
Goto Top
Zitat von @Wollowitz:


Wenn ich die Vergabe von Berechtigungen auf die Computerobjekte beschränke kann er sich doch dann keine weiteren Rechte geben, oder? Er kann nur die Rechte der Computer ändern... Oder meinst du er könnte den Computerobjekten dann Vollberechtigung zur Bearbeitung aller Objekte geben und dann als Computerobjekt auch sich als Benutzer weitere Rechte zuteilen?
Man kann sich gegenüber dem AD auch als Computer-Account authentifizieren und ein Skript in dessen Kontext laufen lassen.
Aber, das Objekt was dann aber geändert werden soll muss dem Container untergeordnet sein, und ein User wird ja wohl keinem Computerobjekt untergeordnet sein. Ist ähnlich wie mit NTFS ACLs.
Dann kann man die Konfiguration erweiterter Berechtigungen generell nicht einzeln delegieren?
Nein. Attribute schon aber keine Berechtigungen.