Remove From My Forums

Berechtigung der Gruppe Konten-Operatoren

Allgemeine Diskussion
0

Anmelden
Hallo,

ich habe die Benutzerverwaltung in einem AD auf Windows-Server 2012 R2 einer Gruppe übergeben, die Mitglied der Konten-Operatoren ist und Verwaltung heißt. Die Mitglieder von Verwaltung sollen auch sich selbst Nutzer zuordnen.

Realisiert wird es über eine Weboberfläche und ldaps-Anfragen. Nach einiger Zeit, hier 14 Tage, "verschwindet" die Berechtigung zum Hinzufügen von Nutzern in die Gruppe Verwaltung, ohne dass die Berechtigungen geändert wurden, die Fehlermeldung ist "LDAP-Fehler 50 ...".

Löscht man die Gruppe Verwaltung und erstellt sie mit den gleichen Parametern neu, funktioniert die Zuordnung zur Gruppe wieder.

Da das Verhalten äußerst mysteriös ist, möchte ich die Frage stellen, ob jemand eine Erklärung oder ähnliches Verhalten festgestellt hat. Für Hilfen und Anregungen dankt

Thorsten
- Typ geändert Mihaela ParedesMicrosoft contingent staff, Moderator Donnerstag, 30. Januar 2020 12:52 Wegen keiner weiteren Aktivitäten verschiebe ich das Thema als Diskussion
Dienstag, 17. Dezember 2019 14:34

Antworten

|

Zitieren

Alle Antworten

1

Anmelden
Moin,

den Workflow musst Du nochmal erläutern:

wie ist das Recht der User, die Gruppenmitglieder zu bearbeiten, in die Web-App umgesetzt? Macht sie Impersonation, so dass die LDAP-Operationen tatsächlich als der jeweilige User ausgeführt werden, oder macht sie nur Authorisierung, und der Webserver agiert dann mit einem Service-Account?
Wurde versucht, die Operation, welche über die Web-Oberfläche nicht klappt, im ADUC durchzuführen? Mit welchem Ergebnis?
Evgenij Smirnov

http://evgenij.smirnov.de
Dienstag, 17. Dezember 2019 21:10

Antworten

|

Zitieren
0

Anmelden

Hallo,

vielen Dank für die Rückfragen. Dadurch kamen wir auf das Problem: Stichwort AdminSDHolder.

Wir agieren mit einem Service-Account und werden jetzt versuchen eine andere Herangehensweise zu wählen.

Mit vielem Dank

Thorsten

Freitag, 20. Dezember 2019 07:58

Antworten

|

Zitieren
1

Anmelden

Hallo Thorsten,

Du hast die Ursache ja bereits gefunden.
AdminSDHolder!

"Gruppe übergeben, die Mitglied der Konten-Operatoren", das bedeutet Deine Verwaltungs Gruppe ist Mitglied einer höher berechtigten Gruppe die unter AdminSDholder Schutz steht.

Das eigentliche Problem besteht darin, dass durch die Gruppenverschachtelung Berechtigungen erteilt werden z.B. zusätzliche Domänen Admins oder andere höher berechtigte Gruppen/Benutzer zu erstellen.

Wenn es darum geht, die Verwaltung "normaler" Benutzer (also keine Admin Konten) innerhalb des AD zu delegieren, dann solltet Ihr über eine entsprechende OU Struktur und die Delegation von Berechtigungen auf diese OU Strukturen nachdenken.

Die Verwaltung von Domänen Admins oder Gleichgestellten, würde ich immer der Kontrolle durch die Domänen Admin selbst überlassen.

Viele Grüße Malte

Donnerstag, 6. Februar 2020 07:18

Antworten

|

Zitieren