Objektverwaltung zuweisen

11/06/2008 - 09:38 von Scherr, Michael | Report spam
Guten Tag,

ich möchte einem AD Nutzer das Recht geben einen Account zu aktivieren bzw.
deaktivieren. Dafür habe ich ihm eine angepasst MMC bereit gestellt. Nun
verfügt der Benutzer natürlich über keine Rechte dieses zu tun.

Nun kann ich einem Nutzer ja Rechte im AD über "Objektverwaltung zuweisen"
geben. Dort finde ich allerdings keine Möglichkeit ihm das Recht zum
aktivieren/Deaktivieren von Accounts zu geben.

Ich habe zwar den allgemeine Task "Erstellt, entfernt und verwaltet
Benutzerkonten" gefunden, aber ich habe gehofft das es bei den
"Benutzerdefienierten Tast zum Zuweisen" die Option mit dem
aktivieren/deaktivieren explizit gibt. Ich möchte ihm ja nicht mehr Rechte
geben als er wirklich benötigt.

Gibt es diese Möglichkeit nicht oder ist dies anders lösbar?

Danke schonmal für eure Hilfe.

Mfg Micha
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
11/06/2008 - 10:16 | Warnen spam
Servus,

"Scherr, Michael" wrote:
Gibt es diese Mglichkeit nicht oder ist dies anders lsbar?



es gibt nicht NUR das Recht für zum aktivieren bzw. deaktivieren eines
Benutzerkontos. Die meisten Kontooptionen werden alle samt über das Attribut
userAccountControl gesteuert, das sich aus einer Bitmaske zusammensetzt, wie
der folgende Artikel es zeigt:

User-Account-Control Attribute (Windows)
http://msdn.microsoft.com/en-us/library/ms680832(VS.85).aspx

How to use the UserAccountControl flags to manipulate user account properties
http://support.microsoft.com/kb/305144/en-us

Du kannst lediglich /fast/ die gesamten Kontoopptionen delegieren und nicht
ein
einzelnes Recht in den Kontooptionen. Dazu kannst du in der DACL (in den
erweiterten Sicherheitseinstellungen) des Containers das Schreibrecht den
Benutzern für das Attribut "userAccountControl" gewàhren.

Also z.B. Rechtsklick auf den Standardcontainer USERS - Eigenschaften -
Reiter Sicherheit (der Reiter Sicherheit erscheint nur, wenn unter Ansicht
die Option "Erweiterte Funktionen" aktiviert ist) - dann fügst du dort den
Benutzer, besser die Gruppe hinzu - klickst unter auf Erweitert - wàhlst den
Benutzer/Gruppe aus und klickst Bearbeiten - klickst dort auf den Reiter
Eigenschaften - im Feld "Übernehmen für" wàhlst du Benutzer-Objekte aus - und
aktivierst dort "userAccountControl lesen und schreiben".

Dann hat derjenige das Recht die Kontooptionen für den kompletten Container
bzw. OU zu veràndern.

Oder du wàhlst im Objektdelegierungsassistenten einen "Benutzerdefinierten
Task"
und wàhlst als Objekttyp "Benutzer-Objekte". Im nàchsten Fenster wàhlst du
dann die Option "Lesen und Schreiben Kontobeschrànkungen" aus. Am Ende kommt
das gleiche raus, es ist nur der Weg begleitet vom Assistenten.

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen