Active Directory Delegate Control
Hallo zusammen,
Ich habe mich bei diesem Artikel mal mit der Delegation von Berechtigungen im AD befasst.
Im untenstehenden Beispiel möchte ich einer Gruppe "G-IcewolfAdmin" die Administration für die OU "Icewolf Users" delegieren.
Schwupps mal den Wizard starten
Gruppe G-Icewolf Admin auswählen...
Die entsprechende Rechte vergeben...
Erledigt.
Wenn man nun wissen möchte, was man denn genau für Rechte vergeben hat, wird es schon einiges schwieriger.
Also nochmals Delegate Control
Tja was nun - ich habe doch eben Berechtigungen delegiert. Ja schon - aber dieser Wizard zeigt dies nicht an - schade Microsoft :(
Man muss nun in den Eigenschaften der OU "Icewolf Users" auf den Security Tab wechseln und dort auf "Advanced" klicken.
Hier kann man nun die Berechtigungen zusammensuchen - ist eine recht mühsame Arbeit. Schade ist auch, dass man das Fenster nicht vergrössern kann :(
Aber hoppla - was sind denn diese zwei Objekte ohne Permission...
Die "leeren Permissions" enpuppen sich dann beim näheren hingucken doch nicht als ganz leer...
- gPLink = Linken der GPO
- gPOptions = Bearbeiten der GPO
So und nun der Test - habe ich wirklich nur in der OU Berechtigungen zum erstellen von Usern und Computern?
Der Menüpunkt "Neu" ist verschwunden - hat also Funktioniert.
Und man kann auch die Berechtigungen der Group Policy Objekte delegieren
