none
Active Directoy - Vorlage User / Berechtigungen RRS feed

  • Frage

  • Hallo,

    wir haben in unseren AD beim anlegen von User das eigenartige Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu ändern.

    Des Weiteren aktuallisiert das AD automatisch für Domänenadmins die Mitglieder und Rechte unter dem Reiter Sicherheit. Dieses Verhalten sorgt bei uns für ein Problem worauf ich leider nicht eingehen kann. Ich beabsichtige ein Recht, dass dem Domänenadmin während dieser Aktuallisierung gegeben wird zu entfernen. Wie kann das erledigt werden.

    danke für Eure Tipps
    Donnerstag, 17. Januar 2013 20:35

Antworten

  • Das ist über die ADSI Konsole nicht möglich. Die Schema Konsole (schmmgmt.dll) gibt Dir hier die richtige Sicht.

    -Raimund

    • Als Antwort vorgeschlagen Tobias Redelberger Montag, 21. Januar 2013 09:39
    • Als Antwort markiert Thomas Al Montag, 21. Januar 2013 10:40
    Montag, 21. Januar 2013 09:32
  • Die Vorlage ist das Schema. Schau mal auf die User Klasse, was dort in der ACL steht.

    Der zweite Punkt wird in dem folgenden Artikel erklärt: [Description and Update of the Active Directory AdminSDHolder Object http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx].


    -Raimund

    • Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:50
    Freitag, 18. Januar 2013 13:11
  • Hi,

    Am 17.01.2013 21:35, schrieb Thomas Al:

    wir haben in unseren AD beim anlegen von User das eigenartige
    Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die
    wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu
    ändern.

    Welche Gruppe? WEnn es nicht die DomänenBenutzer sind, würde ich sagen, das könnt ihr an derselben Stelle, ändern, an der ihr es hinzugefügt habt ...

    Des Weiteren aktuallisiert das AD automatisch für Domänenadmins die
    Mitglieder und Rechte unter dem Reiter Sicherheit.

    Das wird wohl der AdminSDHolder sein. Das muss so. Admin ist Admin.
    Wenn du diese Gruppe einschränken möchtest, dann ist der Trick:
    - entferne die Personen/Konten aus der Gruppe, die da nicht reingehören

    http://technet.microsoft.com/de-de/magazine/2009.09.sdadminholder.aspx
    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:52
    Donnerstag, 17. Januar 2013 22:36

Alle Antworten

  • Hi,

    Am 17.01.2013 21:35, schrieb Thomas Al:

    wir haben in unseren AD beim anlegen von User das eigenartige
    Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die
    wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu
    ändern.

    Welche Gruppe? WEnn es nicht die DomänenBenutzer sind, würde ich sagen, das könnt ihr an derselben Stelle, ändern, an der ihr es hinzugefügt habt ...

    Des Weiteren aktuallisiert das AD automatisch für Domänenadmins die
    Mitglieder und Rechte unter dem Reiter Sicherheit.

    Das wird wohl der AdminSDHolder sein. Das muss so. Admin ist Admin.
    Wenn du diese Gruppe einschränken möchtest, dann ist der Trick:
    - entferne die Personen/Konten aus der Gruppe, die da nicht reingehören

    http://technet.microsoft.com/de-de/magazine/2009.09.sdadminholder.aspx
    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:52
    Donnerstag, 17. Januar 2013 22:36
  •  
    > wir haben in unseren AD beim anlegen von User das eigenartige
    > Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die
    > wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu
    > ändern.
     
    Wie legt Ihr User an? Über AD Benutzer und Computer, per Skript oder
    über ein IDM-System wie FIM oder TIM?
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Freitag, 18. Januar 2013 08:19
  • Die Vorlage ist das Schema. Schau mal auf die User Klasse, was dort in der ACL steht.

    Der zweite Punkt wird in dem folgenden Artikel erklärt: [Description and Update of the Active Directory AdminSDHolder Object http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx].


    -Raimund

    • Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:50
    Freitag, 18. Januar 2013 13:11
  • Hi,

    das mit der zweiten Antwort ist Klasse.

    Zur ersten habe ich noch eine Frage: Ich habe unter ADSI -> Schema die User Classe gefunden, aber dort nicht gesehen, wo ich die Sicherheit einstellen kann.

    Danke

    Montag, 21. Januar 2013 07:50
  • Das ist über die ADSI Konsole nicht möglich. Die Schema Konsole (schmmgmt.dll) gibt Dir hier die richtige Sicht.

    -Raimund

    • Als Antwort vorgeschlagen Tobias Redelberger Montag, 21. Januar 2013 09:39
    • Als Antwort markiert Thomas Al Montag, 21. Januar 2013 10:40
    Montag, 21. Januar 2013 09:32
  • .. und dort über den Reiter "Standardsicherheit" oder ?

    Danke

    Montag, 21. Januar 2013 10:40
  • Zu zweitens: In dem Security Reiter stehen aber nicht alle Recht die auf dem Adminaccout gesetzt werden, sondern nur generelle.

    Kannst du mir z.B. sagen wo z.B. "Emfangen als" als Berechtigung für die Administrator Gruppe festgelegt wird.

    Das findet ich dort nicht

    Danke



    • Bearbeitet Thomas Al Montag, 21. Januar 2013 14:05
    Montag, 21. Januar 2013 14:04
  • Hi,

    Am 21.01.2013 15:04, schrieb Thomas Al:

    Kannst du mir z.B. sagen wo z.B. "Emfangen als" als Berechtigung für die Administrator Gruppe festgelegt wird.

    Das machst du im Postfachspeicher

    Mailboxrechte und Exchange 2007/2010
    http://www.msexchangefaq.de/admin/mbrechte.htm

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 21. Januar 2013 14:19
  • Hallo,

    danke für den Tipp. Das kann ich zwar so machen, das Problem ist aber das der AdminSDHolder-Task diese Berechtigung immer wieder setzt und das darf nicht so sein. Das gilt übrigens auch für andere AdminUser Berechtigungen.

    danke

    Montag, 21. Januar 2013 14:36
  • weiterhin kann ich die Berechtigungen der AdminSdHolder nicht voll sehen, da es sich hierbei um einen Container handelt. Aber ADSIEdit und dsacls zeigen die Berechtigungen nicht an.

    Danke

    Montag, 21. Januar 2013 15:26
  • Am 21.01.2013 15:19, schrieb Mark Heitbrink [MVP]:

    Mailboxrechte und Exchange 2007/2010
    http://www.msexchangefaq.de/admin/mbrechte.htm

    bzw. mit adsiedit
    http://www.server-talk.eu/2008/06/12/how-to-send-as-und-receive-as/


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 21. Januar 2013 16:58
  • Hallo,

    ich habe mir heute alles mit ADSIEdit, dsacls und Exchange genau angesehen. Es werden Berechtigungen hinzugefügt, die im AdminSDHolder nicht vorhanden sind.

    Kann es sein, dass er die Berechtigungen aus der Klasse User und/oder aus dem Besitzer (Domain-Admins) mit heranzieht.

    Danke

    Dienstag, 22. Januar 2013 10:34