Für den DB Admin sollte es die Möglichkeit geben, dass dieser bei jedem neu erstellten Datensatz / OU mit entsprechenden Berechtigungen hinterlegt wird.

Dies betrifft Passwörter / OUs in der Hauptorganisationseinheit. Leider kann man nur generell den Usern das Recht "Kann neue OUs anlegen" gewähren oder entziehen.

Unsere User haben dieses Recht, da sie auch eigenständig Unter-OUs erstellen können sollen, da ansonsten der administrative Aufwand viel zu groß wäre.

Leider kann es dann jedoch auch passieren, dass User entweder aus Unwissen oder aber auch absichtlich eigenständig weitere OUs + PW innerhalb der Hauptorganisationseinheit anlegen. Somit kann es passieren, dass eine Schattenstruktur entsteht und auch der DB-Admin keinen Zugriff mehr auf diese OUs / Passwörter hat.

Was ich nicht verstehe, es gab diese Funktion bereits in der Version 7 siehe https://help.passwordsafe.de/v7/en/index.html?rechtevererbung.htm -> rigth templates.
Mit dieser konnte verhindert werden, dass der Admin entfernt werden kann.

Mir ist bewusst, dass man diese Problematik mit den Rechtevorlagen umgehen kann, jedoch nur für die "Unter-OUs". Es müsste also eben eine Funktion geben, damit User in der Hauptorganisationseinheit keine OUs/PW erstellen können, jedoch in den darunterliegenden schon.

Wenn man den Usern das Recht zum Erstellen von neuen OUs entzieht, können auch in den Unter-OUs keine weiteren OUs erstellt werden, auch wenn der User das Hinzufügen-Recht darin hat.