AD Security Problem bei Vererbung
Hallo liebe Kollegen
Ich habe ein Problem bei welchem ich mir langsam die Zähne ausbeisse bei einem Kunden: Es besteht eine Domäne, welche bereits schon mal umbenannt! wurde
Ich habe eine OU, in welcher Benutzer sind. Auf diese OU soll eine Gruppe (G_Passwortreset) zugriff erhalten, und zwar so weit, dass User Passwörter selber zurückgesetzt werden kann.
Vorgehen: Gruppe erstellen, Gruppe über Menü „Objektverwaltung zuweisen…“ entsprechend mit „Setzt Kennworter für inetOrgPerson zurück….“
Versehen, User der Gruppe hinzufügen welche das machen dürfen. Fertig
Kontrolle1: Sicherheitsgruppe wird nun in Berechtigung mit spezieller Berechtigung angezeigt. Es wurde zwei Mal ein Sicherheitsprinzipal hinterlegt, einmal mit Kennwort reset und einmal ohne etwas (?)
Kontrolle2: Auf dem ganzen AD Schema gibt es keine Verweigerung, weder für den Benutzer in der besagten Gruppe, noch für die Gruppe.
Problem 1:
Nicht alle Benutzer welche in der OU sind, werden mit der neuen Berechtigung vererbt! Eine gehen, andere nicht. Wenn ich diese manuell hinzufüge, sind diese zwar danach einsehbar unter Sicherheit, aber trotzdem kann der User das Kennwort nicht zurücksetzten.
Die Fehlermeldung bezieht sich auf ein Berechtigungsproblem. Die Benutzer wurden zwar früher dort reinverschoben, waren aber schon in der korrekten OU als besagte Änderung gemacht wurde. Vererbung aktiv.
Problem 2: Können SID’s in der Sicherheitseinstellung einfach gelöscht werden, wenn diese durch den DC nicht mehr aufgelöst werden können und wahrscheinlich auf die alte Domäne beziehen? Oder sollte ich diese besser in Ruhe lassen? (Standart wiederherstellen
auf alle OU nachdem ich die alten SIDS gelöscht habe)
Für Euren Input bin ich dankbar
Liebe Grüsse
Roger
