Habs gefunden wie es geht:
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory,Objektverwaltung.aspx
Möchte man Rechte an ein Sicherheitsprinzipal wie z.B. an einen Benutzer oder besser an eine Gruppe im Active Directory (AD) delegieren, kann man
das über den Objektdelegierungsassistenten, die Discretionary Access Control List (kurz DACL) oder mit dem Kommandozeilentool DSACLS durchführen.
Objektdelegierungen
einrichten
Führt man die Delegierung über die grafische Oberfläche (GUI) mit dem Delegierungsassistenten oder über die DACL durch, ist es durchaus möglich,
dass das gewünschte Attribut auf das man die entsprechenden Rechte erteilen möchte in der GUI nicht angezeigt wird. Denn standardmäßig wird nicht jedes Attribut in der GUI angezeigt, um die Liste der angezeigten Attribute übersichtlich zu halten.
Das ist aber auch nicht weiter tragisch, da es ohnehin empfohlen
ist die Delegierung mit DSACLS durchzuführen. Denn somit hat man es zum einen mit der Dokumentation einfacher und zum anderen, lassen sich die erteilten Rechte im AD schnell wieder entfernen. Im Gegensatz zur GUI existieren in der Kommandozeile keine Beschränkungen
und in Verbindung mit einem Skript, können Delegierungen einfach durchgeführt werden. Bei der Delegierung mit dem Kommandozeilentool muss man natürlich das Attribut kennen, auf das man Rechte erteilen möchte.
Siehe auch:
Die
Active Directory-Attribute hinter den Feldnamen
Wer die Delegierung doch lieber über die GUI durchführen möchte, der kann die gefilterten Attribute die standardmäßig nicht angezeigt werden zum
Vorschein bringen. Dazu muss die Datei „dssec.dat“ die sich seit Windows 2000 im Verzeichnis „%systemroot%\System32\“ befindet bearbeitet werden.
Möchte man z.B. die Attribute
physicalDeliveryOfficeName (das Feld “Büro” in den Eigenschaften eines Benutzerobjekts)
oder sn (Nachname eines Benutzers) zum Vorschein bringen, muss in der Datei „dssec.dat“
im Abschnitt [User] hinter den jeweiligen Attributen die Zahl
7 auf
0,
1 oder
2 geändert werden.
Die Zahlen bedeuten:
7 = Das Attribut wird in der GUI nicht angezeigt.
0 = Es werden die Eigenschaften „lesen“ und „schreiben“ für das Attribut angezeigt.
1 = Es wird nur die Schreib-Eigenschaft eines Attributs angezeigt.
2 = Es wird nur die Lese-Eigenschaft eines Attributs angezeigt.
Wurde die Datei dssec.dat bearbeitet, muss anschließend die MMC
Active Directory-Benutzer und -Computer neu gestartet werden, damit das gewünschte Attribut angezeigt wird.
Eine andere Variante ist, dass man bei der Objektdelegierung über die GUI beim erstellen eines
benutzerdefinierten Tasks nicht beim "Zuweisen der Verwaltung von" die Option
"Benutzer"-Objekte auswählt, sondern die Objektklasse "InetOrgPerson"-Objekte. Danach hat man auch Zugriff und die standardmäßig nicht eingeblendeten Attribute und kann diese an die entsprechende Gruppe delegieren.
