4
Abteilungsleiter zu Teilbereichs-Passwort-Änderungen ermächtigen im AD?
Hallo,
mal wieder ein Spezialproblem. Wenn sich bei uns Unser melden mit PW-Rücksetzanträgen müssen wir ohnehin immer in der jeweiligen Abteilung nachfragen, ob das wirklich die Benutzer sind - sonst könnte sich ja jeder dafür ausgeben.
Bisher lief das immer so: Vorgesetzter Abteilungsleiter schickt von offizieller Mail-Adresse der Firma den Antrag für User : XYZ das PW zurückzusetzen.
Künftig soll das der Vereinfachung mäßig so laufen:
Abteilungsleiter erhält Berechtigung PWs selbst zu ändern. Bedingung: er darf und soll nur Änderungen an seinen Untergebenen vornehmen können dürfen.
Genau das ist leider das Problem. Bekommt der Admin-Rechte kann der alle PWs aller User ändern. Kann man dies irgendwo steuern für welche Accounts er die Änderungsbrechtigung hat?
Optimal wäre es, wenn er nur PWs ändern könnte und sonst gar nichts. Mir graust schon jetzt, jemandem ansonsten Admin-Rechte zu geben.
LG,
H.K.
mal wieder ein Spezialproblem. Wenn sich bei uns Unser melden mit PW-Rücksetzanträgen müssen wir ohnehin immer in der jeweiligen Abteilung nachfragen, ob das wirklich die Benutzer sind - sonst könnte sich ja jeder dafür ausgeben.
Bisher lief das immer so: Vorgesetzter Abteilungsleiter schickt von offizieller Mail-Adresse der Firma den Antrag für User : XYZ das PW zurückzusetzen.
Künftig soll das der Vereinfachung mäßig so laufen:
Abteilungsleiter erhält Berechtigung PWs selbst zu ändern. Bedingung: er darf und soll nur Änderungen an seinen Untergebenen vornehmen können dürfen.
Genau das ist leider das Problem. Bekommt der Admin-Rechte kann der alle PWs aller User ändern. Kann man dies irgendwo steuern für welche Accounts er die Änderungsbrechtigung hat?
Optimal wäre es, wenn er nur PWs ändern könnte und sonst gar nichts. Mir graust schon jetzt, jemandem ansonsten Admin-Rechte zu geben.
LG,
H.K.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 636835
Url: https://administrator.de/contentid/636835
Printed on: April 27, 2024 at 01:04 o'clock
4 Comments
Latest comment
Nennt sich Delegation
Hier ein paar Links dazu
Delegation von Berechtigungen
Einzelne Attribute für die Bearbeitung freigeben
AD-Berechtigungen mit der Konsole vergeben
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Berechtigungen für ein Attribut eines Users setzen
AD-Adressen im Sekretariat bearbeiten lassen
Hier ein paar Links dazu
Delegation von Berechtigungen
Einzelne Attribute für die Bearbeitung freigeben
AD-Berechtigungen mit der Konsole vergeben
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Berechtigungen für ein Attribut eines Users setzen
AD-Adressen im Sekretariat bearbeiten lassen
Hallo,
Nutzt ihr Office355 mit SSO? Dann kann man dort auch einen Passwort Reset aktivieren, welche per MFA authentifiziert wird.
Somit wird die Echtheit verifiziert
Zb: sms, Sicherheitsfragen, Anruf, etc
Nutzt ihr Office355 mit SSO? Dann kann man dort auch einen Passwort Reset aktivieren, welche per MFA authentifiziert wird.
Somit wird die Echtheit verifiziert
Zb: sms, Sicherheitsfragen, Anruf, etc
Servus!
Ihr solltet das auf keinen Fall so umsetzen!
Von Cyberattacken kannst du ja jeden Tag lesen, und du solltest die Angriffsfläche verkleinern - und nicht wie hier gewünscht - vergrößern.
Mit jedem schreibenden (Abteilungsleiter-Account) vergrößerst du die Angriffsfläche auf dein AD.
Ebenfalls ist es nicht sinnvoll, mit einem "normalen" User-Account (Abteilungsleiter Account) schreibend auf das AD Zugriff zu gewähren.
Und der "mächtigste" Account ist dann der Geschäftsführer - weil er dann ja auch noch die Abteilungsleiter verwalten darf?!
Sucht euch lieber ein vernünftiges Tool dafür, und such nach:
Self-service password management
Dort kann man auch Workflows hinterlegen, zum freischalten durch den Vorgesetzten z.B.
Wenn euch das zu viel Aufwand ist, lasst es so wie es ist - am besten über ein Ticketsystem, damit das auch nachvollziehbar ist.
Gruß
Luigi
Ihr solltet das auf keinen Fall so umsetzen!
Von Cyberattacken kannst du ja jeden Tag lesen, und du solltest die Angriffsfläche verkleinern - und nicht wie hier gewünscht - vergrößern.
Mit jedem schreibenden (Abteilungsleiter-Account) vergrößerst du die Angriffsfläche auf dein AD.
Ebenfalls ist es nicht sinnvoll, mit einem "normalen" User-Account (Abteilungsleiter Account) schreibend auf das AD Zugriff zu gewähren.
Und der "mächtigste" Account ist dann der Geschäftsführer - weil er dann ja auch noch die Abteilungsleiter verwalten darf?!
Sucht euch lieber ein vernünftiges Tool dafür, und such nach:
Self-service password management
Dort kann man auch Workflows hinterlegen, zum freischalten durch den Vorgesetzten z.B.
Wenn euch das zu viel Aufwand ist, lasst es so wie es ist - am besten über ein Ticketsystem, damit das auch nachvollziehbar ist.
Gruß
Luigi
Wir haben dazu eine Sharepoint-Seite. Diese Seite ist von ausgesuchten Personen aufrufbar und dort können Sie die Passwörter für die ihnen anvertrauten Kollege ihrer Verantwortung zurücksetzen.
Der Vorgesetzte, der Betroffene User und das Auditsystem werden darüber benachrichtigt.
Wir steuern das über Dienstkonten, die lediglich diese Berechtigung haben und die Gruppen prüfen bezüglich der Zugehörigkeit der Kollegen und des Vorgesetzten.
Wenn der User sich angemeldet hat muss er innerhalb von 8 Stunden sein Kennwort erneut ändern sonst wird wieder ein Dienstkonto aktiv und sperrt das Konto.
Am Montag würde ohne diese Technik der Helpdesk zusammenbrechen, weil vermutlich mehrere hundert Passwordreset Anfragen kommen würden.
Der Vorgesetzte, der Betroffene User und das Auditsystem werden darüber benachrichtigt.
Wir steuern das über Dienstkonten, die lediglich diese Berechtigung haben und die Gruppen prüfen bezüglich der Zugehörigkeit der Kollegen und des Vorgesetzten.
Wenn der User sich angemeldet hat muss er innerhalb von 8 Stunden sein Kennwort erneut ändern sonst wird wieder ein Dienstkonto aktiv und sperrt das Konto.
Am Montag würde ohne diese Technik der Helpdesk zusammenbrechen, weil vermutlich mehrere hundert Passwordreset Anfragen kommen würden.