In manchen Fällen mach es Sinn Berechtigungen an weitere Kollegen zu delegieren, allerdings ohne sofort direkte Rechte auf alle administrativen Berechtigungen zu geben.
Dieses galt in meinem Fall für die Einrichtung von DFS-Verknüpfungen. Leider bekam der betroffene Kollege, nach dem er die erforderlichen Daten für eine DFS-Verknüpfung eingegeben hatte, die Meldung Zugriff verweigert.
Im Bereich des DFS kann man keine Einstellungen vornehmen und auch bei den auf dem Domänencontroller angelegten Ordern waren einfach nur die erforderlichen Rechte angelegt. Somit musste es noch eine weitere Stelle zur Administration der Berechtigungen geben.
Nach etwas Suche fand ich die Lösung, da man die “Erweiterten Funktionen” im MMC-Snap-In “Active Directory Benutzer und Computer” aktivieren muss. Dort ist dann in der erweiterten Domänen-Ansicht unter dem Ordner “System” auch ein Ordner “DFS-Configuration” zu finden.
Nun gibt es zwei Möglichkeiten.
Entweder man vergibt dem entsprechenden Kollegen die Rechte auf diesen Ordner oder man berechtigt ihn auf den entsprechend darunter angebundenen DFS-Stamm.
Sollte man den Kollegen auf den Ordner “DFS-Configuration” administrieren, erhält dieser auch automatisch Zugriff auf in Zukunft neu angelegte DFS-Stämme.
Bei der zweiten Variante kann zum Beispiel im Falle einer Migration eine neue Struktur bereits angelegt werden ohne das ein delegierter Nicht-Administrator Anpassungen im DFS-Stamm durchführen kann. Ein weiteres Beispiel wäre, wenn es lokale Administratoren gibt zum Beispiel für unterschiedliche Standorte gibt, die jeweils einen eigenen DFS-Stamm haben, kann der entsprechende Delegierte zwar auf seinen Stamm zugreifen und Anpassungen durchführen, allerdings nicht auf allen weiteren.
Link