Send as Berechtigung berechtigen?!
Ich stehe vor dem Problem einzelnen AD Usern das Recht geben zu müssen die Senden als funktion für Postfächer konfigurieren zu dürfen.
Ich habe einige Operator welche diese Funktion für die Postfächer konfigurieren dürfen sollen.
Der Vollzugriff kann konfiguriert werden, nicht aber die einzelne funktion Senden als
Die Funktion ist eine AD Computer Objekt Berechtigung welche auch per ADSI Explorer vergeben werden kann. Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Vielen Dank für eure Tipps und Hilfen im Vorraus.
Ich habe einige Operator welche diese Funktion für die Postfächer konfigurieren dürfen sollen.
Der Vollzugriff kann konfiguriert werden, nicht aber die einzelne funktion Senden als
Die Funktion ist eine AD Computer Objekt Berechtigung welche auch per ADSI Explorer vergeben werden kann. Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Vielen Dank für eure Tipps und Hilfen im Vorraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1242863329
Url: https://administrator.de/forum/send-as-berechtigung-berechtigen-1242863329.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
12 Kommentare
Neuester Kommentar
Ich weis aber nicht wie man einer Person/ADNutzer das Recht geben kann, expliziet dieses "Senden als" Objekt für Andere zu bearbeiten.
Nennt sich Delegation und kannst du über die ACLs der AD-Objekte bzw. OUs/Container setzen . In der ADUC MMC Rechtsklick auf den Container, Objektverwaltung zuweisen, oder direkt über Eigenschaften > Sicherheit.Zitat von @Wollowitz:
Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
Gut das ging aus deiner Beschreibung leider nicht eindeutig hervor. Dann musst du die Gruppe dazu berechtigen die ACLs (Berechtigungen) der jeweiligen Objekte zu bearbeiten ("Berechtigungen ändern" Recht). Das kannst du aber nicht nur auf das SendenAls anwenden, die User können dann auch andere Rechteeinträge der jew. Objekte ändern.Ich will aber das die Nutzer der Gruppe dir_UserAdmin, Andere berechtigen können dieses Feature für spezielle Postfächer zu Nutzen. Die Berechtigung anderen dazu zu berechtigen genau dieses feature zu verwenden quasi.
@Wollowitz
Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
Du möchtest also bestimmten Benutzern (Gruppe A) das Recht einräumen, anderen Benutzern (Gruppe B) die "Senden als"-Berechtigung für wieder andere Benutzer (Gruppe C) einzuräumen?
Zitat von @Wollowitz:
Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss,
"Berechtigungen ändern"Kannst du mir sagen was das geringste Recht ist, was ich dann berechtigen muss,
und was könnten die Berechtigten dann noch zusätlich neben dem "senden als" ändern?
Sämtliche Berechtigungen/ACLs der ausgewählten/definierten Objekte ändern.Es gibt keine Option das einem nur das Recht gibt ein bestimmtes Recht einer ACL hinzuzufügen, entweder der jenige kann die ACLs der gwünschten Objekte ändern, mit allen Konsequenzen, oder eben nicht.
Zitat von @Wollowitz:
aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Hier geht es um Berechtigungen. Und da Berechtigungen neue/bestehende ACLs umfassen die wiederum Attribute enthalten können kann derjenige eine ACL erstellen die ihm das eben ermöglicht.aber entweder derjenige darf Computerattribute (eben auch "senden als") bearbeten oder eben nicht?
Computerattribute (eben auch "senden als")
"Senden als" ist eine erweiterte Berechtigung kein Attribut.Zitat von @Wollowitz:
Wenn ich die Vergabe von Berechtigungen auf die Computerobjekte beschränke kann er sich doch dann keine weiteren Rechte geben, oder? Er kann nur die Rechte der Computer ändern... Oder meinst du er könnte den Computerobjekten dann Vollberechtigung zur Bearbeitung aller Objekte geben und dann als Computerobjekt auch sich als Benutzer weitere Rechte zuteilen?
Man kann sich gegenüber dem AD auch als Computer-Account authentifizieren und ein Skript in dessen Kontext laufen lassen.Aber, das Objekt was dann aber geändert werden soll muss dem Container untergeordnet sein, und ein User wird ja wohl keinem Computerobjekt untergeordnet sein. Ist ähnlich wie mit NTFS ACLs.
Dann kann man die Konfiguration erweiterter Berechtigungen generell nicht einzeln delegieren?
Nein. Attribute schon aber keine Berechtigungen.