Verständnisprobleme bei ADS Projekt

[Michael363]

Hallo zusammen ich hoffe mir kann hier jemand weiterhelfen.

Ich bin grade dabei mich in ADS, mit Hilfe eines Projektes, einzuarbeiten.

Einen großen Teil habe ich auch schon gelöst doch habe ich im moment ein kleines Problem, bei dem ich weder durch googeln noch durch Bücher weitergekommen bin.

Meine Grundstruktur sieht so aus:

Ich habe eine Domäne einer Firma mit unterschiedlichen Abteilungen.

Ich habe einen Ordner mit dem Namen der Firma angelegt.

Darunter liegt für jede Abteilung eine OU.

Jeweils ein Mitarbeiter der entsprechenden Abteilung soll seine Abteilung

administrieren dürfen. Benutzer anlegen und unter OUs.

Eine Idee dies zu ermöglichen ist:

- Abteilungs-ou anklicken

- Objektverwaltung zuweisen anklicken

- Den entsprechenden Benutzer aus der OU hinzufügen

- und als nächstes die Berechtigungen setzen.

Die zweite Idee ist eine Benutzergruppe für Abteilungs-Administratoren anzulegen. (Wird glaube ich vom Kursleiter bevoezugt)

Hierbei weis ich nicht wie ich dies praktisch umsetze.

Brauche ich eine Abteilungsadministratoren Gruppe für jede Abteilung seperat oder kann ich auch EINE Abteilungsadministratorengruppe anlegen, so das der hier hinzugefügte Benutzer automatisch die Administrationsrechte für die OU erhält in der er sich befindet

Wenn ich eine Benutzergruppe Buchaltungsadministratoren erzeuge, wie kann ich dieser Gruppe die Berechtigung zuweisen Benutzer hinzu zufügen usw.

Wie geht das unter dem Reiter eigenschaften Sicherheit?

Oder macht man das per GPO???

Dann habe ich einem Nutzer nach der ersten Idee für seine OU die Berechtigung gegeben Benutzer hinzu zufügen usw. Jetzt wollte ich im Testaufbau testen ob es funktioniert.

Ich habe nur noch nicht verstanden wie dieser Nutzer von seinem Windows XP PR Client die Benutzer verwalten soll.

Über Systemsteuerung Benutzer und gruppen geht es nicht.

Dann habe ich versucht über mmc eine Konsole für die Aufgebe zu erstellen

aber das bringt auch nichts.?

Ich hoffe ihr könnt mir helfen. Schonmal Danke im voraus.

[robotto7831a]

Hallo!

Zu 1: Entweder Du gibst in der OU den drei Leuten die diese OU verwalten dürfen einzeln die Berechtigungen über den Delegierungsassistenten. Das ist aber sehr unschön wenn jemand wegfällt oder neu hinzu kommt. Besser ist die Gruppenlösung. Du legst eine Gruppe an und schiebst die Benutzer in de Gruppe. Danach delegierst Du über den Delegierungsassistenten an die Gruppe die Berechtigungen. Wenn jetzt jemand hinzu kommt oder wegfällt, dann einfach aus der Gruppe entfernen bzw. aufnehmen und Thema erledigt. Berechtigungen sollten laut MS Konzept übrigens immer über Gruppen gesteuert werden. Denn wenn ein Benutzer gelöscht wird, steht dieser immer noch in den NTFS Berechtigungen rum und muss per Handarbeit gelöscht werden. Bevor jetzt jemand schreit, ja es gibt mittlerweile auch Tools dafür. Aber das kann nicht die Lösung sein.

Ach so. Du kannst natürlich auch über die Registerkarte Sicherheit die Berechtigungen zurecht fummeln aber MS hat sich doch soviel Mühe mit dem Assistenten gegeben, da sollte man ihn auch nutzen. So lange man im Standard bleibt.

Zu 2: Wenn Du an jemanden Berechtigungen deligiert hast, dann benötigt er auf seinem PC das adminpak.msi. Dort ist die MMC "AD Benutzer und Computer" enthalten und dort muss er die Benutzer anlegen, ändern, löschen usw. Oder man benutzt diverse Tools oder programmiert sich etwas in Java oder oder oder. Es gibt viele Möglichkeiten das AD zu verwalten.

Frank