12
Send as Berechtigung berechtigen?!
Ich stehe vor dem Problem einzelnen AD Usern das Recht geben zu müssen die Senden als funktion für Postfächer konfigurieren zu dürfen.
Ich habe einige Operator welche diese Funktion für die Postfächer konfigurieren dürfen sollen.
Der Vollzugriff kann konfiguriert werden, nicht aber die einzelne funktion Senden als
Die Funktion ist eine AD Computer Objekt Berechtigung welche auch per ADSI Explorer vergeben werden kann. Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Vielen Dank für eure Tipps und Hilfen im Vorraus.
Ich habe einige Operator welche diese Funktion für die Postfächer konfigurieren dürfen sollen.
Der Vollzugriff kann konfiguriert werden, nicht aber die einzelne funktion Senden als
Die Funktion ist eine AD Computer Objekt Berechtigung welche auch per ADSI Explorer vergeben werden kann. Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Vielen Dank für eure Tipps und Hilfen im Vorraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1242863329
Url: https://administrator.de/contentid/1242863329
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
12 Kommentare
Neuester Kommentar
Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Nennt sich Delegation und kannst du über die ACLs der AD-Objekte bzw. OUs/Container setzen 
. In der ADUC MMC Rechtsklick auf den Container, Objektverwaltung zuweisen, oder direkt über Eigenschaften > Sicherheit.
Danke dir evoplus,
leider ist das noch nicht genau die Lösung.
Wenn ich das so delegiere Kann ich als Mitglied der Gruppe dir_UserAdmin (diese ist delegiert).
Selber das Feature "Senden als" nutzen, und zwar für alle Untergeordneten Objekte.
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Momentan passiert sonst genau das (Bild)
leider ist das noch nicht genau die Lösung.
Wenn ich das so delegiere Kann ich als Mitglied der Gruppe dir_UserAdmin (diese ist delegiert).
Selber das Feature "Senden als" nutzen, und zwar für alle Untergeordneten Objekte.
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Momentan passiert sonst genau das (Bild)
Zitat von @Wollowitz:
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Gut das ging aus deiner Beschreibung leider nicht eindeutig hervor. Dann musst du die Gruppe dazu berechtigen die ACLs (Berechtigungen) der jeweiligen Objekte zu bearbeiten ("Berechtigungen ändern" Recht). Das kannst du aber nicht nur auf das SendenAls anwenden, die User können dann auch andere Rechteeinträge der jew. Objekte ändern.Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
@Wollowitz
Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
Zitat von @NixVerstehen:
@Wollowitz
Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
@Wollowitz
Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
Genau so wünsch ich mir das
Zitat von @149062:
Zitat von @Wollowitz:
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Gut das ging aus deiner Beschreibung leider nicht eindeutig hervor. Dann musst du die Gruppe dazu berechtigen die ACLs (Berechtigungen) der jeweiligen Objekte zu bearbeiten ("Berechtigungen ändern" Recht). Das kannst du aber nicht nur auf das SendenAls anwenden, die User können dann auch andere Rechteeinträge der jew. Objekte ändern.Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss, und was könnten die Berechtigten dann noch zusätlich neben dem "senden als" ändern?
Zitat von @Wollowitz:
Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss,
"Berechtigungen ändern"Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss,
und was könnten die Berechtigten dann noch zusätlich neben dem "senden als" ändern?
Sämtliche Berechtigungen/ACLs der ausgewählten/definierten Objekte ändern.Es gibt keine Option das einem nur das Recht gibt ein bestimmtes Recht einer ACL hinzuzufügen, entweder der jenige kann die ACLs der gwünschten Objekte ändern, mit allen Konsequenzen, oder eben nicht.
1
Und das ist genau auch der Punkt, warum ich mir solch ein Konstrukt nicht antun würde. Das endet dann aufgrund der Bequemlichkeit der Nutzer damit, das jeder im Namen eines anderen schreiben kann. Dann kannst du für den ganzen Laden gleich ein freigegebenen Postfach einrichten 
1
na Spitze...
aber jetzt hab ichs verstanden. Danke euch.
Es gibt faktisch nur die Variante auf das zu bearbeitenede Objekt zu begrenzen, in dem Falll auf die Computer, aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Also doch Tool schreiben das nur diese Option Einstellen lässt, mit hard codiertem Berechtigtem User im Bauch, sicher Ablegen und Zugang beschränken...
Ich dachte das haben wir hinter uns.
aber jetzt hab ichs verstanden. Danke euch.
Es gibt faktisch nur die Variante auf das zu bearbeitenede Objekt zu begrenzen, in dem Falll auf die Computer, aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Also doch Tool schreiben das nur diese Option Einstellen lässt, mit hard codiertem Berechtigtem User im Bauch, sicher Ablegen und Zugang beschränken...
Ich dachte das haben wir hinter uns.
Zitat von @Wollowitz:
aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Hier geht es um Berechtigungen. Und da Berechtigungen neue/bestehende ACLs umfassen die wiederum Attribute enthalten können kann derjenige eine ACL erstellen die ihm das eben ermöglicht.aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Computerattribute (eben auch "senden als")
"Senden als" ist eine erweiterte Berechtigung kein Attribut.1Zitat von @149062:
Zitat von @Wollowitz:
aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Hier geht es um Berechtigungen. Und da Berechtigungen neue/bestehende ACLs umfassen die wiederum Attribute enthalten können kann derjenige eine ACL erstellen die ihm das eben ermöglicht.aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Wenn ich die Vergabe von Berechtigungen auf die Computerobjekte beschränke kann er sich doch dann keine weiteren Rechte geben, oder? Er kann nur die Rechte der Computer ändern... Oder meinst du er könnte den Computerobjekten dann Vollberechtigung zur Bearbeitung aller Objekte geben und dann als Computerobjekt auch sich als Benutzer weitere Rechte zuteilen?
Computerattribute (eben auch "senden als")
"Senden als" ist eine erweiterte Berechtigung kein Attribut.Zitat von @Wollowitz:
Wenn ich die Vergabe von Berechtigungen auf die Computerobjekte beschränke kann er sich doch dann keine weiteren Rechte geben, oder? Er kann nur die Rechte der Computer ändern... Oder meinst du er könnte den Computerobjekten dann Vollberechtigung zur Bearbeitung aller Objekte geben und dann als Computerobjekt auch sich als Benutzer weitere Rechte zuteilen?
Man kann sich gegenüber dem AD auch als Computer-Account authentifizieren und ein Skript in dessen Kontext laufen lassen.Aber, das Objekt was dann aber geändert werden soll muss dem Container untergeordnet sein, und ein User wird ja wohl keinem Computerobjekt untergeordnet sein. Ist ähnlich wie mit NTFS ACLs.
Dann kann man die Konfiguration erweiterter Berechtigungen generell nicht einzeln delegieren?
Nein. Attribute schon aber keine Berechtigungen.1
