none
Objekverwaltung zuweisen RRS feed

  • Frage

  • Hallo.

    Wir nutzen hier die Objektverwaltung um bestimmten Personen eine gewisse Eigenverwaltung der Benutzer ihrer Arbeitsgruppe/Organisationseinheit zu ermöglichen. Eingerichtet wie hier http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm beschrieben. Jetzt ist mir aufgefallen, das man in der eingeschränkten Benutzerverwaltung mit einem Rechtsklick in das rechte Feld, dann auf Ansicht/Benutzer, Gruppen und Computer als Container, doch das komplette AD zu sehen bekommt.

    Haben wir etwas falsch gemacht oder ist das leider so.

    Gruss Ingo

    Mittwoch, 3. November 2010 09:35

Alle Antworten

  • Hallo Ingo,
     
    On 03.11.2010 10:35, Ingo Schneider wrote:
    > Wir nutzen hier die Objektverwaltung um bestimmten Personen eine gewisse
    > Eigenverwaltung der Benutzer ihrer Arbeitsgruppe/Organisationseinheit zu
    > ermöglichen. Eingerichtet wie hier
    > http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
    > beschrieben. Jetzt ist mir aufgefallen, das man in der eingeschränkten
    > Benutzerverwaltung mit einem Rechtsklick in das rechte Feld, dann auf
    > Ansicht/Benutzer, Gruppen und Computer als Container, doch das komplette
    > AD zu sehen bekommt.
     
    ich denke nicht, dass ihr etwas falsch macht. Das AD ist so aufgebaut,
    dass normale Benutzer in der Lage sind, weite Teile des Verzeichnisses
    lesend durchsuchen zu können. Viele Dienste wie Exchange oder
    LDAP-Browser machen sich das zum Vorteil.
     
    Das mutwillige "Ausbrechen" aus dem Taskpad ist ja erstmal nichts
    Verkehrtes. Letztlich könnten die Benutzer, wenn sie Zugriff auf
    ADSIEdit oder LDP haben, auch so im Verzeichnis "browsen".
     
    Zur Absicherung: Du hast "Anpassen von Ansichten durch Benutzer
    zulassen" bei den Optionen der MMC nicht angehakt (wie im Howto
    beschrieben), oder?
     
    Cheers,
    Florian
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Mittwoch, 3. November 2010 09:51
  • Hallo Florian.

    Ja, das Häkchen ist raus. Kommt ja bei dem beschriebenen Schritt auch zu einer Fehlermeldung,

    Das Snap-In konnte aufgrund der aktuellen Benutzerrichtlinien nicht erstellt werden.

    Name: Ordner

    CLSID:

    Das AD wird darunter trotzdem angezeigt. Muss ja keiner dahinterkommen, das das geht, aber wenn, dann wäre das schlecht. Ergo kann das so nicht bleiben. Gibt es eine Möglichkeit das irgendwie zu unterbinden? Ansonsten können wir das vergessen.

    Gruss Ingo

    Mittwoch, 3. November 2010 10:29
  • Am 03.11.2010 schrieb Ingo Schneider:
    Hi,

    bleiben. Gibt es eine Möglichkeit das irgendwie zu unterbinden? Ansonsten können wir das vergessen.

    Warum? Was gibts denn da zu sehen, dass es so verboten ist? Eventuell
    braucht ihr ja nur ein anderes Werkzeug?

    Bye
    Norbert

    Mittwoch, 3. November 2010 10:54
  •  

    Eventuell braucht ihr ja nur ein anderes Werkzeug?

    Bye
    Norbert

    Hallo Norbert.

    Welches könnte das sein?

    Gruss Ingo

    Mittwoch, 3. November 2010 11:36
  • Moin,

    irgendwelche Werkzeuge helfen da gar nichts. Es gibt viele Wege, auf denen ein User das AD durchsuchen kann, wenn er die Rechte dazu hat.

    Die einzige Möglichkeit, das wirksam zu verhindern, besteht in einer Abdichtung der Berechtigungen. Das ist aber nicht ohne und muss sorgfältig geplant und getestet werden. Es kann auch zum Supportverlust führen.

    [faq-o-matic.net » ice:2010 AD-Delegation – die Folien und Skripts]
    http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Freitag, 5. November 2010 13:02
  • Am 05.11.2010 schrieb Nils Kaczenski [MVP]:
    Hi,

    irgendwelche Werkzeuge helfen da gar nichts. Es gibt viele Wege, auf denen ein User das AD durchsuchen kann, wenn er die Rechte dazu hat.

    Korrekt, aber manchmal gehts ja nur darum, dass der User mit den an die
    Handgegebenen Werkzeugen nur das machen/sehen können sollen, was man ihnen
    vorgibt.

    Die einzige Möglichkeit, das wirksam zu verhindern, besteht in einer Abdichtung der Berechtigungen. Das ist aber nicht ohne und muss sorgfältig geplant und getestet werden. Es kann auch zum Supportverlust führen.

    Korrekt, und da das manchmal ja gar nicht das gesucht ist, sondern man
    einfach verhindern will, dass die Leute da mal so rumklicken, hilft manchmal
    auch einfach ein anderes Werkzeug. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Samstag, 6. November 2010 10:43
  • Am 03.11.2010 schrieb Ingo Schneider:
    Hi,

    Welches könnte das sein?

    Weiß ich nicht, da du ja nicht verrätst, was eigentlich so geheim ist. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Samstag, 6. November 2010 10:44
  • Hallo Norbert.

    Was heisst geheiom? Es muss doch nicht jeder schnöde Gruppenleiter in das AD schauen können und wissen wie das auschaut und aufgebaut ist.

    Wenn Du kein Werkzeug kennst, warum sprichst Du so was dann an?

    Gruss Ingo

    Sonntag, 7. November 2010 12:31
  • Moin Ingo,

    pampig werden bring außer Verstimmung überhaupt nichts. Wie soll Norbert ein Werkzeug nennen, wenn du nicht angibst, was es können soll und was du erreichen willst? Auch auf Nachfrage hast du ja nichts Konkretes genannt.

    Nur meine 0,02 EUR,

    Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 25. November 2010 09:28
  • Hallo Nils.

    Ich glaube pampig ist etwas anderes. Ich habe ihm lediglich vorgehalten weshalb er etwas bringt, das er dann nicht liefern kann.

    Ich denke eine weitere Erklärung des Sachverhalts meinerseits ist nicht nötigt. Steht eigentlich alles in meinem Eröffnungspost. Und warum das so sein sein soll, ist firmenintern und geht ihn schlicht nichts an.

    Gruss Ingo

    Freitag, 26. November 2010 07:04
  • Moin,

    na gut, dann weiß ich ja künftig bescheid ...

    Gruß, Nils

    ... der Community irgendwie anders versteht


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Freitag, 26. November 2010 13:29
  • Hallo Nils,

    wenn Du Community darunter verstehst das man hier Firmeninterna ausbreitet ... Ich dachte das wäre ein Technikforum.

    Gruss Ingo

    Samstag, 27. November 2010 02:35
  • Hi,

    Am 07.11.2010 13:31, schrieb Ingo Schneider:

    Es muss doch nicht jeder schnöde Gruppenleiter in das AD schauen
    können und wissen wie das auschaut und aufgebaut ist.

    Warum nicht? Er kann doch sowieso nichts mit diesem Wissen anfangen.
    Abschauen kann er nicht, denn das AD Design passt in kein anderes
    AD und die einzige Erkenntnis ist: Aha, so denken die hier.
    Finde ich nicht schlimm.

    nur so,
    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 28. November 2010 21:37