none
AD Delegation RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen

    Wir delegieren mittels AD Gruppen die Verwaltung von Computer Objekten in einer dafür vorgesehenen OU. Die Delegation ist wie folgt auf die OU eingerichtet:

    "Full Control" Applies to: "Descendant Computer object"

    Die ComputerObjekte können bis auf das Tab "Delegation" (Trust thos Computer...) verwaltet werden. Möchte ich eine Delegation z.B. Trust this Computer for delegation to any Service (Kerberos only) erscheint eine Fehlermeldung: Access denied...

    Welche zusätzliche Berechtigung(en) muss ich noch delegieren?

    Anzumerken ist, dass wir bestrebt sind nur die nötigen, also so wenig wie mögliche Berechtigungen zufügen möchten. Selbstverständlich funktioniert alles mit Domain Admin Rechten, dies ist aber nicht die Lösung.

    Danke für Euer Feedback, Gruss Dani

    Dienstag, 19. August 2014 12:11
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Dani,

    folgende Hilfestellung:

    Der Nutzer/ die Gruppe benötigt folgende Rechte:

    a) das Recht auf dem DC Computer und User für die Delegierung einzurichten:

    So would go into SECPOL.MSC and RSOP.MSC on the DC and verified that your "semi-administrator" user has been really granted the "Enable computer and user account to be trusted for delegation" as this user right is by defaul enforced from Default Domain Controllers Policy GPO.

    b) Lesen / Schreiben auf das Attribut userAccountControl

    c) Lesen / Schreiben Rechte  auf das Attribut msDS-AllowedToDelegateTo

    Hoffentlich hilft dir das schon weiter?!

    Grüße

    Eric

    Eric Berg -- http://www.ericberg.de -- MCSE: Private Cloud MCSE: Server Infrastructure MCSE: Desktop Infrastructure

    • Als Antwort vorgeschlagen Eric Berg [MVP]MVP Donnerstag, 21. August 2014 10:29
    • Als Antwort markiert dahawei Freitag, 22. August 2014 13:45
    Mittwoch, 20. August 2014 09:24
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Dani,

    folgende Hilfestellung:

    Der Nutzer/ die Gruppe benötigt folgende Rechte:

    a) das Recht auf dem DC Computer und User für die Delegierung einzurichten:

    So would go into SECPOL.MSC and RSOP.MSC on the DC and verified that your "semi-administrator" user has been really granted the "Enable computer and user account to be trusted for delegation" as this user right is by defaul enforced from Default Domain Controllers Policy GPO.

    b) Lesen / Schreiben auf das Attribut userAccountControl

    c) Lesen / Schreiben Rechte  auf das Attribut msDS-AllowedToDelegateTo

    Hoffentlich hilft dir das schon weiter?!

    Grüße

    Eric

    Eric Berg -- http://www.ericberg.de -- MCSE: Private Cloud MCSE: Server Infrastructure MCSE: Desktop Infrastructure

    • Als Antwort vorgeschlagen Eric Berg [MVP]MVP Donnerstag, 21. August 2014 10:29
    • Als Antwort markiert dahawei Freitag, 22. August 2014 13:45
    Mittwoch, 20. August 2014 09:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Eric

    Vielen Dank, Dein Hinweis war genau das was noch fehlte!

    DC Policy "Enable computer and user account to be trusted for delegation" mit der AD Gruppe erweitert und schon klappt.

    Gruss Dani

    Freitag, 22. August 2014 13:45
    |