Active Directory 2016 - Delegierung von Berechtigungen einrichten - Infos, Tools benötigt

Hallo Zusammen,

Ziel ist es im Active Directory (Gesamtstruktur und Domäne auf 2016) Delegierungen von Berechtigungen auf Gruppen einzurichten.
Diese Berechtigungen sollen auf entsprechende OUs eingerichtet werden.

Dabei reichen die Standardvorlagen im Delegierungsassistent nicht aus.

Leider scheint bei Delegierung von bsp Benutzer erstellen (Attribut) bei der Anlage neuer Benutzer diverse Fehlermeldungen. Somit sind womöglich noch weitere Attribute zu berechtigen.


Fragen:
1.
Welche Webseiten / Fachbücher / Whitepapers / etc. beschreiben bzw. erklären die genaue Funktionsweise (auch unter der "Haube") der Berechtigungen im AD?
Denn auch AD gibt es die Vererbung der Berechtigungen (ähnlich wie bei NTFS).


2.
Welche Tools gibt es neben den Windows Boardmittel AD-User und Computer / LDP.exe mit denen man die Zugriffssteuerungslisten von OUs nicht nur auslesen, sondern auch anpassen kann?


3.
Gibt es Tabellen zu all den verschiedenen AD-Attributen (die bsp per lesen / schreiben berechtigt werden können) und deren Bedeutung?


Hat jemand mit diesem Thema bereits einige Erfahrungswerte gesammelt und relevante Infos?

Danke für Tipps/Hilfestellungen!

Viele Grüße

Content-Key: 666527

Url: https://administrator.de/contentid/666527

Ausgedruckt am: 17.06.2021 um 20:06 Uhr

Mitglied: DerWoWusste
DerWoWusste am 07.05.2021
4Love
Ich würde einen anderen Ansatz verfolgen, der ohne Delegation auskommt:
Beispiel: Du willst, das Gruppe X andere Nutzer in der OU Y erstellen kann.
Dazu erstellst Du am DC oder einem anderen Fileserver eine Freigabe, auf der lediglich Gruppe X schreiben kann.
Ein Mitglied von X erstellt dort eine Textdatei mit allen Infos, kommagetrennt, zum Beispiel
(Nachname, Vorname, Telefonnummer)
Nun lässt Du am DC per geplantem Task alle 5 Minuten ein Powershell-Skript laufen, das diese Textdateien als Systemkonto abarbeitet und daraus Nutzer erstellt und danach die Eingabedatei löscht.

Gibt es Berechtigungsprobleme? Nö. Muss was gekauft werden? Nö. Ist das unsicher? Nö.
Die Textdateien müssen korrekt erstellt werden, das ist alles. Dazu könntest Du den Nutzern in diese Ordner eine Batch legen, welche einfach all diese Attribute abfragt und dann in eine Datei schreibt, die verarbeitet wird.
Mitglied: HansDampf06
HansDampf06 am 08.05.2021
Diesen Vorschlag hast Du vor Kurzen an einer anderen Stelle schon gemacht. Ich finde Ihn echt GENIAL!!!

Das Beste daran: Eine solche Datei mit den erforderlichen Daten zu befüllen, dass schafft im Prinzip jeder Mitarbeiter, ohne auch nur den Hauch an Ahnung von IT-Administration haben zu müssen. Der technische Teil ist in jedem Fall automatisierbar, so dass das höchst effizient erscheint.

Viele Grüße
HansDampf06
Heiß diskutierte Beiträge
Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1021 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 12 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...

Netzwerke
Internetprobleme seit Serverinstallation
beepboopVor 5 StundenFrageNetzwerke13 Kommentare

Guten Tag zusammen Bei einem Kunden habe ich ein sehr merkwürdiges Problem. Wir haben vor zwei Wochen einen Server beim Kunden installiert. Vorher waren nur ...