none
Delegation von Rechten auf OU funktioniert nicht. RRS feed

  • Frage

  • Hallo,

    ich habe einen Testbenutzer ADOperator angelegt, dem ich mit dem Delegationsassistent Rechte zum Bearbeiten von User-Eigenschaften wie Namen, Adressdaten, Telefon usw. vergeben habe. Auf einem Terminal-Server habe ich dann das entsprechende AD-Snap-In und mmc angelegt.

    Wenn ich mich mit dem User anmelde und einen AD-User bearbeiten möchte, sind alle Felder ausgegraut - können also nicht editiert werden. Selbst wenn ich Vollzugriff vergebe, kann ich mit dem ADOperator keine Attribute editieren.

    Auswertung mit DCACLS zeigt folgendes:

    Dsacls OU=Test-OU,DC=meineDomäne,DC=de > C:\Dsacls.txt

    Zulassen   MeineDomäne\ADOperator              Vollzugriff

    Liegt das am Terminal-Server? Mach ich etwas falsch?

    Vielen Dank für eure Beiträge :)

    Gruß Dietmar

    Dienstag, 23. Oktober 2012 16:14

Antworten

  • Deleted
    • Als Antwort markiert dietmar07 Donnerstag, 25. Oktober 2012 17:39
    Donnerstag, 25. Oktober 2012 03:04

Alle Antworten

  • Hallo,

    kann es rein zufällig sein, dass der Benutzer, den Du bearbeiten willst in einer administrativen Gruppe Mitglied ist? Wenn ja, dann google mal nach adminsdholder.

    Viele Grüße

    Frank 


    -- Frank Röder http://blog.iteach-online.de --

    Dienstag, 23. Oktober 2012 19:37
  • Vielen Dank für die Tipps. Beide waren hilfreich. Im Moment bin ich dabei die Stecknadel im adminSDHolder Haufen zu suchen, denn laut Script zur Abfrage des AdminCount Flags sind so gut wie alle user geschützt! Da hat wohl jemand vor längerem die Domänen-Benutzer oder auth. Benutzer in einer der geschützten Gruppen gehabt ;(

    Viele Grüße

    Dietmar

    Mittwoch, 24. Oktober 2012 15:03
  • Hallo Matthias,

    ja danke, das Skript hatte ich schon heute mittag angewendet und bis jetzt haben die User die 0 bei AdminCount stehen. Allerdings kann ich noch immer nicht die Attribute eines AD-Benutzers ändern, wohl aber von neuen Benutzern, die ich nach der Delegation erstellt habe. Da scheint die Vererbung der Rechte auf die bestehenden Benutzer in der OU nicht zu funktionieren. Wenn ich bei den alten Benutzern unter Sicherheit nachschaue fehlt der ADOperator bei den neuen ist er vorhanden.

    Ich habe es mit der Einstellung "Dieses und alle untergeordneten Objekte" und "Benutzer" schon versucht. Das Ergebnis bleibt aber das gleiche.

    Danke

    Gruß Dietmar

    Mittwoch, 24. Oktober 2012 17:36