Remove From My Forums

Delegierung (Export und Import einzelner ACE's)

Frage
0

Anmelden
Hallo,

ich bin noch relativ neu im Bereich Delegierung und habe folgendes Problem.

Ich möchte ausgehend von einer TestOU für eine Gruppe (unsere Helpdesk User) - ich nenne sie DL-Support-Team - bestimmte Delegierungsaufgaben in andere OU's genauso anwenden. Ich habe begonnen mit einer ACE zunächst der Gruppe Berechtigung zu geben Computerobjekte in der OU zu erzeugen, zu disablen oder zu verschieben in eine andere OU.

Das funktioniert auch wunderbar. Nun ist es natürlich so, daß ich die Gruppe auch für andere OU's delegieren möchte und muß dazu in den jeweiligen OU's die Gruppe wieder manuell delegieren (mit den Einstellungen aus der TestOU).

Kommen dann noch weitere Anforderungen hinzu, welche ich zuerst in der TestOU ausprobieren möchte, muß ich im Anschluß daran wieder diese Einstellungen manuell in den anderen OU's nachziehen.

Jetzt meine Frage. Gibt es eine empfohlene Vorgehensweise diese automatisiert durchführen zu können (wenn mit Scripting, dann mit Powershell oder ... ?) Letztendlich ist es sehr mühselig und fehlerträchtig dies einheitlich in einer OU Struktur zu verwalten. Exportieren kann ich mit einem professionellen Tool recht schnell die ACE Einstellungen - das Importieren wird aber leider nicht unterstützt.

Vielen Dank für Eure Hilfe

Thomas
- Bearbeitet calderos Montag, 21. Juli 2014 10:34
Montag, 21. Juli 2014 09:57

Antworten

|

Zitieren

Antworten

0

Anmelden
Hallo,

schau Dir mal DSACLS an http://technet.microsoft.com/de-de/library/cc771151(v=ws.10).aspx http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx oder http://blogs.technet.com/b/pfesweplat/archive/2013/05/13/permissions-in-ad-lost-control.aspx basierend auf Windows Powershell an.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Als Antwort vorgeschlagen Nils KaczenskiMVP Dienstag, 22. Juli 2014 06:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Donnerstag, 31. Juli 2014 08:25
Montag, 21. Juli 2014 12:35

Antworten

|

Zitieren
0

Anmelden
Moin,

einen Ex- und Import in der Form gibt es nicht. Es ist aber Best Practice, die Berechtigungen im AD per DSAcls zuzuweisen (oder per PowerShell, aber das ist nicht wirklich einfacher). Dazu sollte man sich dann ein Skript zusammenbauen, das man in einer separaten (!) Testumgebung entwickelt. Ist es fertig, kann man es auf die Realumgebung anwenden.

Auf die Weise hat man dann gleich eine Dokumentation, denn das Skript enthält dann ja alle Änderungen. Ebenso kann man das Skript dann mit geringen Änderungen für andere OUs weiterverwenden.

Beispiele:

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

[dsacls-Ergebnis im Skript effizient prüfen | faq-o-matic.net]
http://www.faq-o-matic.net/2010/05/25/dsacls-ergebnis-im-skript-effizient-prfen/

Gruß, Nils

Nils Kaczenski
MVP Hyper-V
Hannover, Germany
- Als Antwort vorgeschlagen Nils KaczenskiMVP Dienstag, 22. Juli 2014 06:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Donnerstag, 31. Juli 2014 08:25
Montag, 21. Juli 2014 15:02

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Hallo,

schau Dir mal DSACLS an http://technet.microsoft.com/de-de/library/cc771151(v=ws.10).aspx http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx oder http://blogs.technet.com/b/pfesweplat/archive/2013/05/13/permissions-in-ad-lost-control.aspx basierend auf Windows Powershell an.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Als Antwort vorgeschlagen Nils KaczenskiMVP Dienstag, 22. Juli 2014 06:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Donnerstag, 31. Juli 2014 08:25
Montag, 21. Juli 2014 12:35

Antworten

|

Zitieren
0

Anmelden

Hallo,

vielen Dank für die Links. Ja DSACLS habe ich schon entdeckt. Muß mich da mal reinlesen. Ich dachte nur, vielleicht gibt es ähnlich wie bei GPO Sicherungen über eine Exportfunktion eine Möglichkeit aus verschiedenen ACE's eine zu selektieren und zu exportieren und dann über Import bei der gewünschten Ziel OU diesen Satz an Berechtigungen wieder hinzuzufügen. Es scheint aber nun doch nur über Kommandozeilenbefehle zu gehen.

Montag, 21. Juli 2014 13:35

Antworten

|

Zitieren
0

Anmelden
Moin,

einen Ex- und Import in der Form gibt es nicht. Es ist aber Best Practice, die Berechtigungen im AD per DSAcls zuzuweisen (oder per PowerShell, aber das ist nicht wirklich einfacher). Dazu sollte man sich dann ein Skript zusammenbauen, das man in einer separaten (!) Testumgebung entwickelt. Ist es fertig, kann man es auf die Realumgebung anwenden.

Auf die Weise hat man dann gleich eine Dokumentation, denn das Skript enthält dann ja alle Änderungen. Ebenso kann man das Skript dann mit geringen Änderungen für andere OUs weiterverwenden.

Beispiele:

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

[dsacls-Ergebnis im Skript effizient prüfen | faq-o-matic.net]
http://www.faq-o-matic.net/2010/05/25/dsacls-ergebnis-im-skript-effizient-prfen/

Gruß, Nils

Nils Kaczenski
MVP Hyper-V
Hannover, Germany
- Als Antwort vorgeschlagen Nils KaczenskiMVP Dienstag, 22. Juli 2014 06:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Donnerstag, 31. Juli 2014 08:25
Montag, 21. Juli 2014 15:02

Antworten

|

Zitieren
0

Anmelden
Hallo,

vielen Dank nochmals für die sehr hilfreichen Antworten.

Ich habe jetzt auch einiges probiert und komme soweit klar. Jetzt stoße ich bei dem umgekehrten Vorgang auf ein Problem:

Ich möchte mit dsrevoke /remove einzelne mit DSACLS oder auch von meinen Vorgängern manuell erzeugte Berechtigungen wieder zurücknehmen. dsrevoke fragt auch schön vor dem Löschen der ACE's nach - ich kann aber nur mit ja antworten, wodurch ALLE ACE's gelöscht werden. Gibt es eine Möglichkeit in dem Befehl nur eine bestimmte ACE (werden ja mit ACE #1,2..) zu löschen ? Oder gibt es noch einen anderen Befehl dafür bzw. geht dies wieder nur besser mit Powershell ?

Vielen Dank !
- Bearbeitet calderos Dienstag, 26. August 2014 13:39
Dienstag, 26. August 2014 13:37

Antworten

|

Zitieren
0

Anmelden

Hallo,

in folgenden Artikeln solltest Du Optionen sehen welche Dir helfen können http://jorgequestforknowledge.wordpress.com/2014/08/24/powershell-and-dacls-in-ad-removing-ace-for-write-property-on-some-object/ http://jorgequestforknowledge.wordpress.com/2014/08/26/powershell-and-dacls-in-ad-removing-ace-for-some-extended-right-on-some-object/

Einige mehr sind unter http://jorgequestforknowledge.wordpress.com/category/toolingscripting/ zu finden.
Best regards

Meinolf Weber

MVP, MCP, MCTS

Microsoft MVP - Directory Services
My Blog: http://blogs.msmvps.com/MWeber
Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
Twitter:

Mittwoch, 27. August 2014 15:18

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Delegierung (Export und Import einzelner ACE's)

Frage

Antworten

Alle Antworten