Guten Abend,
über die Benutzerverwaltung möchte ich einen neuen Mitarbeiter anlegen. Ich bin als Hauptadministrator angemeldet. Der Prozess endet mit dem Fehler IFK2110 " der angemeldete Windows-Benutzer hat keine Berechtigung Windows-Benutzer zu ändern."
Was muss ich tun? Danke für Hilfe
Moin Moin
Stochern im Nebel, mehr nicht.
Der Windows-Benutzer ist angelegt, richtig.
Dann bedarf es in der Benutzerverwaltung nur noch der Verknüpfung.
Sollte kein Problem sein, außer wenn Datev den Hauptadmin nicht als Admin kennt.
Mehr fällt mir dazu nicht ein.
Zu "IFK2110" sagt die Hilfe natürlich nichts.
D.h., wenn nicht jemand bereits mit dieser Meldung konfrontiert war und eine Lösung fand, bliebt nach meiner Ansicht nur der Servicekontakt.
QJ
@SophiaMüller schrieb:"der angemeldete Windows-Benutzer hat keine Berechtigung Windows-Benutzer zu ändern."
Hier fehlt dem angemeldeten "Hauptadministrator" vermutlich das Recht, im Active Directory(?) Benutzer anzulegen oder zu ändern.
Klingt danach, als sollte man sich an "die IT / den IT Dienstleister" wenden.
War klar, das dieses genau so passiert. Als DATEV begonnen hat über die DATEV Benutzerverwaltung in das AD zu schreiben habe ich vor den anzurichtenden Schäden gewarnt.
Und, wie Du schon sagtest, der DATEV Hauptadministrator braucht eine entsprechend hohe Berechtigung im AD - mir graust es wenn ich ständig mit den Rechten knapp unter dem DomAdmin bei der tätglichen Arbeit unterwegs wäre. Was könnte man da versehentlich alles anrichten (hinrichten träfe es manchmal besser).
@einmalnoch schrieb:War klar, das dieses genau so passiert. Als DATEV begonnen hat über die DATEV Benutzerverwaltung in das AD zu schreiben habe ich vor den anzurichtenden Schäden gewarnt.
Und, wie Du schon sagtest, der DATEV Hauptadministrator braucht eine entsprechend hohe Berechtigung im AD - mir graust es wenn ich ständig mit den Rechten knapp unter dem DomAdmin bei der tätglichen Arbeit unterwegs wäre. Was könnte man da versehentlich alles anrichten (hinrichten träfe es manchmal besser).
Ein Datev Hauptadministrator braucht KEINE Schreibrechte in der Windows oder AD Benutzerverwaltung.
Ein Installationsadministrator braucht ebenso KEINE Schreibrechte in der Windows oder AD Benutzerverwaltung. Dieser benötigt lediglich administrative Rechte auf der lokalen Maschine.
Jemand der für die Anlage von Windows oder AD Benutzern zuständig legt die entsprechenden Konten im OS oder AD an, der Datev Hauptadministrator verknüpft diese nur noch!
Für diejenigen die den Datev Hauptadministrator mit einem Dom-Admin verknüpfen kann immer noch "Nur Lesezugriff auf Windows-Netz" aktiviert werden.
Nichts anderes habe ich gesagt.
Es geht darum, das DATEV über die die Benutzerverwaltung in das AD schreiben kann. Und das ist per se schon gefährlich, ein reines Leserecht hätte gereicht.
@einmalnoch schrieb:
Es geht darum, das DATEV über die die Benutzerverwaltung in das AD schreiben kann. Und das ist per se schon gefährlich, ein reines Leserecht hätte gereicht.
Die DATEV Software kann an der Stelle nicht schreiben und ist nur das Werkzeug. Da kann dann ein - ggfs. mit zu hohen Rechten ausgestatteter - User "im AD" schreiben. Das kann er dann aber auch mit allen anderen Tools / Schnittstellen und braucht keine DATEV Software dazu. (In der Realität ist dann leider meist ein Domain-Admin Konto im Spiel.)
@einmalnoch schrieb:
Was könnte man da versehentlich alles anrichten (hinrichten träfe es manchmal besser
Das trifft auch auf ganz andere Fälle bei der täglichen Arbeit zu 😅.