Benutzer mit den meisten Antworten
Active Directoy - Vorlage User / Berechtigungen

Frage
-
Hallo,
wir haben in unseren AD beim anlegen von User das eigenartige Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu ändern.
Des Weiteren aktuallisiert das AD automatisch für Domänenadmins die Mitglieder und Rechte unter dem Reiter Sicherheit. Dieses Verhalten sorgt bei uns für ein Problem worauf ich leider nicht eingehen kann. Ich beabsichtige ein Recht, dass dem Domänenadmin während dieser Aktuallisierung gegeben wird zu entfernen. Wie kann das erledigt werden.
danke für Eure Tipps
Antworten
-
Das ist über die ADSI Konsole nicht möglich. Die Schema Konsole (schmmgmt.dll) gibt Dir hier die richtige Sicht.
-Raimund
- Als Antwort vorgeschlagen Tobias Redelberger Montag, 21. Januar 2013 09:39
- Als Antwort markiert Thomas Al Montag, 21. Januar 2013 10:40
-
Die Vorlage ist das Schema. Schau mal auf die User Klasse, was dort in der ACL steht.
Der zweite Punkt wird in dem folgenden Artikel erklärt: [Description and Update of the Active Directory AdminSDHolder Object http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx].
-Raimund
- Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:50
-
Hi,
Am 17.01.2013 21:35, schrieb Thomas Al:
wir haben in unseren AD beim anlegen von User das eigenartige
Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die
wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu
ändern.Welche Gruppe? WEnn es nicht die DomänenBenutzer sind, würde ich sagen, das könnt ihr an derselben Stelle, ändern, an der ihr es hinzugefügt habt ...
Des Weiteren aktuallisiert das AD automatisch für Domänenadmins die
Mitglieder und Rechte unter dem Reiter Sicherheit.Das wird wohl der AdminSDHolder sein. Das muss so. Admin ist Admin.
Wenn du diese Gruppe einschränken möchtest, dann ist der Trick:
- entferne die Personen/Konten aus der Gruppe, die da nicht reingehörenhttp://technet.microsoft.com/de-de/magazine/2009.09.sdadminholder.aspx
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm- Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:52
Alle Antworten
-
Hi,
Am 17.01.2013 21:35, schrieb Thomas Al:
wir haben in unseren AD beim anlegen von User das eigenartige
Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die
wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu
ändern.Welche Gruppe? WEnn es nicht die DomänenBenutzer sind, würde ich sagen, das könnt ihr an derselben Stelle, ändern, an der ihr es hinzugefügt habt ...
Des Weiteren aktuallisiert das AD automatisch für Domänenadmins die
Mitglieder und Rechte unter dem Reiter Sicherheit.Das wird wohl der AdminSDHolder sein. Das muss so. Admin ist Admin.
Wenn du diese Gruppe einschränken möchtest, dann ist der Trick:
- entferne die Personen/Konten aus der Gruppe, die da nicht reingehörenhttp://technet.microsoft.com/de-de/magazine/2009.09.sdadminholder.aspx
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm- Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:52
-
> wir haben in unseren AD beim anlegen von User das eigenartige> Verhalten, dass jedem User eine bestimmte Gruppe zugeordnet wird, die> wir dort nicht haben wollen. Wo ist es möglich die "Vorlage" dafür zu> ändern.Wie legt Ihr User an? Über AD Benutzer und Computer, per Skript oderüber ein IDM-System wie FIM oder TIM?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Die Vorlage ist das Schema. Schau mal auf die User Klasse, was dort in der ACL steht.
Der zweite Punkt wird in dem folgenden Artikel erklärt: [Description and Update of the Active Directory AdminSDHolder Object http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx].
-Raimund
- Als Antwort markiert Thomas Al Montag, 21. Januar 2013 07:50
-
Das ist über die ADSI Konsole nicht möglich. Die Schema Konsole (schmmgmt.dll) gibt Dir hier die richtige Sicht.
-Raimund
- Als Antwort vorgeschlagen Tobias Redelberger Montag, 21. Januar 2013 09:39
- Als Antwort markiert Thomas Al Montag, 21. Januar 2013 10:40
-
Zu zweitens: In dem Security Reiter stehen aber nicht alle Recht die auf dem Adminaccout gesetzt werden, sondern nur generelle.
Kannst du mir z.B. sagen wo z.B. "Emfangen als" als Berechtigung für die Administrator Gruppe festgelegt wird.
Das findet ich dort nicht
Danke
- Bearbeitet Thomas Al Montag, 21. Januar 2013 14:05
-
Hi,
Am 21.01.2013 15:04, schrieb Thomas Al:
Kannst du mir z.B. sagen wo z.B. "Emfangen als" als Berechtigung für die Administrator Gruppe festgelegt wird.
Das machst du im Postfachspeicher
Mailboxrechte und Exchange 2007/2010
http://www.msexchangefaq.de/admin/mbrechte.htmTschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm -
Am 21.01.2013 15:19, schrieb Mark Heitbrink [MVP]:
Mailboxrechte und Exchange 2007/2010
http://www.msexchangefaq.de/admin/mbrechte.htmbzw. mit adsiedit
http://www.server-talk.eu/2008/06/12/how-to-send-as-und-receive-as/
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm -
Hallo,
ich habe mir heute alles mit ADSIEdit, dsacls und Exchange genau angesehen. Es werden Berechtigungen hinzugefügt, die im AdminSDHolder nicht vorhanden sind.
Kann es sein, dass er die Berechtigungen aus der Klasse User und/oder aus dem Besitzer (Domain-Admins) mit heranzieht.
Danke