- Registriert
- Juli 2009
- Beiträge
- 947
Hallo zusammen,
ich hab hier ein Phänomen, was mich etwas verwirrt, und ich würde es gerne verstehen lernen.
Ich habe im Active Directory folgende Struktur: OU3 ist Unterordner von OU2, und OU2 ist ihrerseits Unterordner von OU1.
In OU1 habe ich einer Gruppe in den erweiterten Berechtigungen das Recht "Vollzugriff" gegeben, mit dem Bereich "Untergeordnete Computerobjekte". Die Vererbung ist aktiviert, so dass auch in OU2 und OU3 dieser Eintrag existiert und auch dort Vollzugriff auf Computerobjekte angibt. Es existiert kein "Verweigern"-Eintrag irgendwo in der OU-Struktur.
Wenn ich die "Effektiven Berechtigungen" dieser Gruppe auf eine der OUs anzeigen lasse, dann ist dort alles rot markiert - kein Zugriff. Wenn ich dasselbe auf ein Computerobjekt ausführe, welches in einer dieser OUs ist, dann ist dort alles grün markiert - also Vollzugriff. Soweit, so gut: so sollte es sein!
Allerdings: wenn ein Mitglied dieser Gruppe versucht, ein Computerobjekt von einer OU in die andere zu verschieben, dann bekommt er eine Fehlermeldung mit "Zugriff verweigert".
Braucht ein Benutzer denn unbedingt Zugriff auf die OU selbst, wenn er Computerobjekte verschieben will, selbst wenn er in sowohl der Quell-OU als auch der Ziel-OU Vollzugriff auf Computerobjekte hat? Das finde ich irgendwie nicht logisch. Aber wenn dem so ist, welche Berechtigungen müsste dieser Benutzer denn auf die OUs bekommen? Eigentlich soll er am liebsten an den OUs selbst gar nichts machen dürfen, sondern nur an den darin enthaltenen Computern...
ich hab hier ein Phänomen, was mich etwas verwirrt, und ich würde es gerne verstehen lernen.
Ich habe im Active Directory folgende Struktur: OU3 ist Unterordner von OU2, und OU2 ist ihrerseits Unterordner von OU1.
In OU1 habe ich einer Gruppe in den erweiterten Berechtigungen das Recht "Vollzugriff" gegeben, mit dem Bereich "Untergeordnete Computerobjekte". Die Vererbung ist aktiviert, so dass auch in OU2 und OU3 dieser Eintrag existiert und auch dort Vollzugriff auf Computerobjekte angibt. Es existiert kein "Verweigern"-Eintrag irgendwo in der OU-Struktur.
Wenn ich die "Effektiven Berechtigungen" dieser Gruppe auf eine der OUs anzeigen lasse, dann ist dort alles rot markiert - kein Zugriff. Wenn ich dasselbe auf ein Computerobjekt ausführe, welches in einer dieser OUs ist, dann ist dort alles grün markiert - also Vollzugriff. Soweit, so gut: so sollte es sein!
Allerdings: wenn ein Mitglied dieser Gruppe versucht, ein Computerobjekt von einer OU in die andere zu verschieben, dann bekommt er eine Fehlermeldung mit "Zugriff verweigert".
Braucht ein Benutzer denn unbedingt Zugriff auf die OU selbst, wenn er Computerobjekte verschieben will, selbst wenn er in sowohl der Quell-OU als auch der Ziel-OU Vollzugriff auf Computerobjekte hat? Das finde ich irgendwie nicht logisch. Aber wenn dem so ist, welche Berechtigungen müsste dieser Benutzer denn auf die OUs bekommen? Eigentlich soll er am liebsten an den OUs selbst gar nichts machen dürfen, sondern nur an den darin enthaltenen Computern...
