Das Dienstkonto, unter dem der Active Directory Connector ausgeführt wird, benötigt Administratorrechte auf dem Server, auf dem der Connector installiert ist.

• Wenn der Active Directory Connector auf einem Domänencontroller installiert ist, muss das Dienstkonto Mitglied der Gruppe „Domänenadministratoren“ sein.
• Wenn der Active Directory Connector auf einem Mitgliedsserver installiert ist, muss das Dienstkonto Mitglied der Administratorgruppe des Servers sein.

Erstellen eines Dienstkontos, das ein Domänenadministrator ist – verwendet auf einem Domänencontroller

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Erstellen Sie einen neuen Benutzer. Verwenden Sie einen aussagekräftigen Namen wie „PasswordBossService“.
3. Erstellen Sie ein sicheres Passwort für das Konto und deaktivieren Sie das Kontrollkästchen, damit keine Passwortänderung erforderlich ist. Sie können auch das Kontrollkästchen „Passwort läuft nie ab“ aktivieren.
   
4. Speichern Sie das neue Passwort in Password Boss .
5. Bearbeiten Sie das Dienstkonto in Active Directory-Benutzer und -Computer.
6. Fügen Sie auf der Registerkarte „Mitglied von“ die Gruppe „Domänenadministratoren“ hinzu und speichern Sie das Konto.

Erstellen eines Dienstkontos, das Administrator auf dem Mitgliedsserver ist

1. Öffnen Sie „Benutzer und Gruppen“.
2. Erstellen Sie einen neuen Benutzer. Verwenden Sie einen aussagekräftigen Namen wie „PasswordBossService“.
3. Erstellen Sie ein sicheres Passwort für das Konto und deaktivieren Sie das Kontrollkästchen, damit keine Passwortänderung erforderlich ist. Sie können auch das Kontrollkästchen „Passwort läuft nie ab“ aktivieren.
4. Speichern Sie das neue Passwort in Password Boss .
5. Bearbeiten Sie das Benutzerkonto, fügen Sie auf der Registerkarte „Mitglied von“ die Gruppe „Administratoren“ hinzu und speichern Sie das Dienstkonto.
6. Öffnen Sie „Active Directory-Benutzer und -Computer“, klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie „Steuerung delegieren“ aus.
7. Fügen Sie Ihr Dienstkonto zur Benutzer- oder Gruppenseite hinzu.
8. Wählen Sie auf der Seite „Zu delegierende Aufgaben“ die Option „Alle Benutzerinformationen lesen“ aus.
9. Beenden Sie den Assistenten
10. Installieren Sie AD Lightweight Directory Service als Rolle auf Ihrem Mitgliedsserver.
11. Öffnen Sie Powershell oder eine Eingabeaufforderung und führen Sie die folgenden Befehle aus

dsacls "CN=Deleted Objects,<Your_Base_DN_here>" /takeownership

dsacls "CN=Deleted Objects,<Your_Base_DN_here>" /G <Domain\PasswordBossService>:LCRP