2
Verbieten Active Directory Objekte zu bearbeiten
Hallo Admins,
ich möchte gerne eine Reihe von Accounts haben, welche in der Lage sind Clients in die Domäne zu heben.
Ich habe verschiedene OUs (Zweigstellen) und in jeder OU soll ein anderer Account diese Befähigung haben. Des Weiteren dürfen die Account nicht in die anderen OUs reinarbeiten.
Dies sind die Rahmenbedingungen. Soweit funktioniert das auch. Gelöst über GPOs und dedizierte Accounts, die als local Admin funktionieren.
Ich habe aber noch das Problem, dass die Accounts AD Objekte bearbeiten können. OUs selber nicht. Hier bekommt man die Fehlermeldung, dass die Berechtigung fehlt. (So soll es sein)
Die Accounts sind Mitglied in zwei Gruppen: Eine Sammelgruppe und Domänen-Benutzer. Die Gruppe, Global Security, dient dazu, dass die einzelnen Accounts über die GPO als local Admin fungieren und Clients in die Domäne heben können.
Die Gruppe ist Mitglied der Gruppe Konten-Operatoren.
Ich habe alle Berechtigungen geprüft und die sagen aus, dass Computer Accounts angelegt und gelöscht werden dürfen. Ansonsten ist nichts gesetzt. Auch die effektiven Berechtigungen zeigen im "schlimmsten Fall" nur lesen.
Als Anleitung habe ich diese beiden Seiten genommen:
http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-adminis ...
http://networkadminkb.com/KB/a75/how-to-allow-specific-users-to-add-wor ...
Vielleicht hat ja einer von Euch eine Idee?
Besten Dank im Voraus.
Grüße
Saesch
ich möchte gerne eine Reihe von Accounts haben, welche in der Lage sind Clients in die Domäne zu heben.
Ich habe verschiedene OUs (Zweigstellen) und in jeder OU soll ein anderer Account diese Befähigung haben. Des Weiteren dürfen die Account nicht in die anderen OUs reinarbeiten.
Dies sind die Rahmenbedingungen. Soweit funktioniert das auch. Gelöst über GPOs und dedizierte Accounts, die als local Admin funktionieren.
Ich habe aber noch das Problem, dass die Accounts AD Objekte bearbeiten können. OUs selber nicht. Hier bekommt man die Fehlermeldung, dass die Berechtigung fehlt. (So soll es sein)
Die Accounts sind Mitglied in zwei Gruppen: Eine Sammelgruppe und Domänen-Benutzer. Die Gruppe, Global Security, dient dazu, dass die einzelnen Accounts über die GPO als local Admin fungieren und Clients in die Domäne heben können.
Die Gruppe ist Mitglied der Gruppe Konten-Operatoren.
Ich habe alle Berechtigungen geprüft und die sagen aus, dass Computer Accounts angelegt und gelöscht werden dürfen. Ansonsten ist nichts gesetzt. Auch die effektiven Berechtigungen zeigen im "schlimmsten Fall" nur lesen.
Als Anleitung habe ich diese beiden Seiten genommen:
http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-adminis ...
http://networkadminkb.com/KB/a75/how-to-allow-specific-users-to-add-wor ...
Vielleicht hat ja einer von Euch eine Idee?
Besten Dank im Voraus.
Grüße
Saesch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253790
Url: https://administrator.de/contentid/253790
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
2 Kommentare
Neuester Kommentar
1) Im Active Directory eine neue Gruppe für die AD Berechtigungen erstellen. (Für jede OU eine Gruppe)
2) Rechtsklick auf die zu verwaltende OU --> "Objektverwaltung zuweisen"
3) Benötigte Rechte der erstellen Gruppe zuweisen
4) Benutzer in die erstellte Gruppe hinzufügen
Ich rate dir allerdings davon ab, die Objektverwaltungen für die zu verwaltende Gruppe direkt an die User zuzuweisen - die ganzen Sicherheitsberechtigungen werden dadurch schwer nachvollziehbar.
2) Rechtsklick auf die zu verwaltende OU --> "Objektverwaltung zuweisen"
3) Benötigte Rechte der erstellen Gruppe zuweisen
4) Benutzer in die erstellte Gruppe hinzufügen
Ich rate dir allerdings davon ab, die Objektverwaltungen für die zu verwaltende Gruppe direkt an die User zuzuweisen - die ganzen Sicherheitsberechtigungen werden dadurch schwer nachvollziehbar.
Hi Hyper-V
Danke für deine Antwort.
Ich konnte anscheint das Problem lösen:
Ich habe die "Sammelgruppe" aus den Konten-Operatoren raus genommen und ich konnte damit das gewünschte Ergebnis erzielen.
Es wird gerade geprüft, ob alles klappt.....
Danke für deine Antwort.
Ich konnte anscheint das Problem lösen:
Ich habe die "Sammelgruppe" aus den Konten-Operatoren raus genommen und ich konnte damit das gewünschte Ergebnis erzielen.
Es wird gerade geprüft, ob alles klappt.....
