Remove From My Forums

Delegierung

Frage
0

Anmelden
Guten Tag,

Szenario:

Windows Server 2008 Standard

Domäne: contoso.com

OUs:
Administratoren (Enthält die Gruppe Helpdesk)
Personal (Enthält Frau bmayer die zur Gruppe Helpdesk gehört und Dan Holme "Normaler User")

Objektverwaltung zuweisen
Der OU Personal wird die Gruppe Helpdesk zugewiesen.
Aufgabe: Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung

Wenn ich mich jetzt aber mit Frau bmayer anmelde und in der OU Personal bei dem User Dan Holme das Passwort zurücksetzen möchte, kommt Zugriff verweigert....?

Wäre froh wenn mir jemand helfen könnte.

Freundliche Grüsse

Stefan
Mittwoch, 3. November 2010 14:08

Antworten

|

Zitieren

Antworten

1

Anmelden
Hi Stefan,

die Printoperatoren sind auch eine der geschützte Gruppen - das kann in dem Fall gut sein.

Wenn der Benutzer nicht mehr Mitglied einer der geschützten Gruppen ist, setzt zu das adminCount-Attribut auf den Wert 0 zurück und aktiviert die Vererbung der Berechtigungen im "Sicherheit"-Tab unter "Erweitert" des Benutzers in ADSIEdit. Dann "erbt" der Benutzer wieder die Berechtigungen, die auf der OU delegiert wurden.

Cheers,

Florian
Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
- Als Antwort markiert unike Freitag, 5. November 2010 12:16
Freitag, 5. November 2010 09:41

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Wenn ich jetzt aber spezifisch bei Dan Holme unter Sicherheit Erweiter in der DACL das Kästchen Vererbbare Berechtigungen des übergeordneten Objektes einschliessen markiere, geht es bei diesem User.

Aber es wäre sehr umständlich, dies für alle User zu markieren.

Weshalb wird die Vererbung nicht übernommen... ?

Mittwoch, 3. November 2010 14:20

Antworten

|

Zitieren
0

Anmelden

Howdie!

On 03.11.2010 15:20, unike wrote:

> Wenn ich jetzt aber spezifisch bei Dan Holme unter Sicherheit Erweiter

> in der DACL das Kästchen Vererbbare Berechtigungen des übergeordneten

> Objektes einschliessen markiere, geht es bei diesem User.

>

> Aber es wäre sehr umständlich, dies für alle User zu markieren.

>

> Weshalb wird die Vererbung nicht übernommen... ?

In welchen Gruppen ist Dan Holme denn Mitglied? Welchen Wert nimmt das

Attribut "adminCount" von Dan Holmes Benutzerkonto an (siehe ADSIEdit).

Cheers,

Florian

Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)

Mittwoch, 3. November 2010 14:24

Antworten

|

Zitieren
0

Anmelden
Hi,

adminCount = 1

Gruppe: contoso.com/Users Domänen-Benutzer

Gruss Stefan
- Bearbeitet unike Mittwoch, 3. November 2010 14:37
Mittwoch, 3. November 2010 14:31

Antworten

|

Zitieren
0

Anmelden

Stefan,

On 03.11.2010 15:31, unike wrote:

> Hi,

>

> adminCount = 1

>

> Gruppe: contoso.com/Users

Dann ist das Verhalten "erklärbar". Der Benutzer war einmal Mitglied

einer geschützten Gruppe oder einer Admingruppe. Damit du Frau BMayer

nicht "aus Versehen" das Recht gibst, Dan Holmes Password zu ändern und

sie sich dann mit seinem Account einloggen kann, schützt das System

seinen Account mit dem sogenannten AdminSDHolder:

http://www.serverhowto.de/Teil-1-Geschuetzte-Gruppen.478.0.html

Cheers,

Florian

Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)

Mittwoch, 3. November 2010 14:37

Antworten

|

Zitieren
0

Anmelden

Wenn ich einen neuen User erfasse, wird der automatisch der Gruppe Domänen-Benutzer hinzugefügt.

Also müsste ich den User Dan Home aus der Sicherheitsgruppe Domänen-Benutzer entfernen und eine eigene primäre Gruppe definieren?

Ich bin noch grün hinter den Ohren was das Active Directory angeht und lerne gerade mit dem Buch Konfigurieren von Windows Server 2008 Active Directory von Microsoft Press, sorry :-).

Gruss Stefan

Mittwoch, 3. November 2010 15:08

Antworten

|

Zitieren
0

Anmelden

Domänenbenutzer ist toll, daran ändert man am besten auch erstmal nichts.

Es gibt im AD einen Prozess, der mächtige Benutzerkonten schützt - nämliche solche, die in administrativen Gruppen stecken. Entweder sind sie direkt Mitglied oder durch transitive Gruppenmitgliedschaften. Kannst du mal nachsehen, ob du die "Domänen-Benutzer" irgendwo als Mitglied hinzugefügt hast?

Prinzipiell muss Dan Holmes (coole Bücher!) nicht mehr jetzt in diesem Augenblick in einer administrativen Gruppe sein. Es reicht, wenn er einst war.

Cheers,

Florian
Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)

Mittwoch, 3. November 2010 18:48

Antworten

|

Zitieren
0

Anmelden

Hi Florian,

Erstmal danke für die guten Antworten! Den Bericht über den AdminSDHolder habe ich gelesen.

Vor kurzem habe ich die Domänen-Benutzer als Mitglied von Druck-Operatoren konfiguriert, damit ich mich direkt "als Test" mit bmayer am Server anmelden kann. Wird wohl an dem liegen?

Da ich das nun anhand von diesem Buch weiterführen möchte, wie könnte ich das jetzt umgehen? :-)

Gruss stefan

Freitag, 5. November 2010 09:32

Antworten

|

Zitieren
1

Anmelden
Hi Stefan,

die Printoperatoren sind auch eine der geschützte Gruppen - das kann in dem Fall gut sein.

Wenn der Benutzer nicht mehr Mitglied einer der geschützten Gruppen ist, setzt zu das adminCount-Attribut auf den Wert 0 zurück und aktiviert die Vererbung der Berechtigungen im "Sicherheit"-Tab unter "Erweitert" des Benutzers in ADSIEdit. Dann "erbt" der Benutzer wieder die Berechtigungen, die auf der OU delegiert wurden.

Cheers,

Florian
Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
- Als Antwort markiert unike Freitag, 5. November 2010 12:16
Freitag, 5. November 2010 09:41

Antworten

|

Zitieren
0

Anmelden

Hi Florian,

Ok funktioniert. Vielen herzlichen Dank!!!War sehr interessant :-).

cya.

Gruss Stefan

Freitag, 5. November 2010 12:16

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Delegierung

Frage

Antworten

Alle Antworten