AD - Verwalten von Gruppen

[StefanP]

n'Abend,

gibt es eine Möglichkeit einem Anwender das Recht zu geben, die Member einer lokalen Gruppe zu verwalten ?
zB. das man im AD bei der lokalen Gruppe hinterlegt wer das darf.
Es gibt da ein Feld: "Verwaltet von"
Irre ich da, oder ist das "nur" informell ? Oder ist es das wonach ich suche, muß aber noch etwas anderes beachten ?

Oder quatsch, das geht nicht ohne Admin-Rechte ?

 

[Bullayer]

Das sagt Technet dazu. Der Anwender muß zur Gruppe der Konten-Operatoren, Domänen-Admins oder Organisations-Admins gehören.

 

[StefanP]

hmmmm das hieße dann aber, dass der Betroffene alle lokalen Gruppen ändern könnte ... das wäre nicht in meinem Sinne - schade.

Ich bräuchte diese Funktionalität für WorkGroups, wo je WorkGroup ein WorkGroupManager (WGM) auch die Rechte vergeben kann.
Wenn es nicht über die Gruppen klappt, dann über die Foldersecurity.
Zwar nicht ganz sauber, aber funktioniert.
Schlecht ist halt dann auch wieder, dass der WGM bestehende User aus dem Folder entfernen könnte ... Admin, System. hmmmmm

 

[Bullayer]

Da sich ja die Gruppenmitglieder nicht permanent ändern, würde ich das als Admin auf jeden Fall selbst machen.

 

[StefanP]

Dein Wort in den Ohren der WorkGroup-Manager
Is zu unsicher, stimmt .... selber machen (Admin) ist wohl die einzige Lösung.

 

[gman24]

eine (aufwendigere) möglichkeit wäre, die domäne in mehrere OUs (organisationseinheiten) zu unterteilen.

das brächte auch den vorteil, dass man für diese ous auch separate gruppenrichtlinien definieren könnte.

frag mich nicht, wie das gemacht wird, aber ich bin selbst admin einer ou und nur für bestimmte benutzer, gruppen, rechner und server zuständig. parallel existierende oder übergeordnete ous sind für mich tabu.

als chef der domäne könntest du dann wirklich alle denkbaren berechtigungen vergeben (oder entziehen)

 

[Bullayer]

@gman24, auch die Aufteilung in mehrere OU's ist nicht unbedingt das Gelbe vom Ei, wenn die Workgroup-Manager DAU's sind.

@StefanP: Wer hat denn letztendlich die Verantwortung, wenn irgendwas mit der Gruppenzugehörigkeit nicht richtig ist und Gruppenmitglieder auf Daten Zugriff bekommen, die sie eigentlich nicht sehen sollten? Etwa Du als Administrator? Dann würde ich die Arbeit auf jeden Fall selbst machen.

 

[StefanP]

Und genau darum wäre es gegangen, dass der Anwender eben nur eine oder bestimmte lokale Gruppe(n) editieren kann und sonst nichts.
Das Backup hätte keine Problem und manipulieren kann der Anwender auch nichts, ausser eben die Rechte der eigenen WorkGroup (wird autom. nach unten vererbt)

Ich dachte da gäbe es eine Möglichkeit, dass der Admin einem Anwender die Verwaltung einer lokalen Gruppe übergibt - das Feld dazu existiert ja auch - aber scheinbar nur Informell. Ebenso die Option: "Vorgestzter kann Mitgliedsliste ändern" - ist wohl ebenfalls nur informell.

Keine Sorge, an die Rechtestruktur lass ich keinen ran - insofern es nicht einwandfrei steuerbar ist wie eben erwähnt. Wäre aber ein nettes Feature.