Active Directory 2016 - Delegierung von Berechtigungen einrichten - Infos, Tools benötigt
Hallo Zusammen,
Ziel ist es im Active Directory (Gesamtstruktur und Domäne auf 2016) Delegierungen von Berechtigungen auf Gruppen einzurichten.
Diese Berechtigungen sollen auf entsprechende OUs eingerichtet werden.
Dabei reichen die Standardvorlagen im Delegierungsassistent nicht aus.
Leider scheint bei Delegierung von bsp Benutzer erstellen (Attribut) bei der Anlage neuer Benutzer diverse Fehlermeldungen. Somit sind womöglich noch weitere Attribute zu berechtigen.
Fragen:
1.
Welche Webseiten / Fachbücher / Whitepapers / etc. beschreiben bzw. erklären die genaue Funktionsweise (auch unter der "Haube") der Berechtigungen im AD?
Denn auch AD gibt es die Vererbung der Berechtigungen (ähnlich wie bei NTFS).
2.
Welche Tools gibt es neben den Windows Boardmittel AD-User und Computer / LDP.exe mit denen man die Zugriffssteuerungslisten von OUs nicht nur auslesen, sondern auch anpassen kann?
3.
Gibt es Tabellen zu all den verschiedenen AD-Attributen (die bsp per lesen / schreiben berechtigt werden können) und deren Bedeutung?
Hat jemand mit diesem Thema bereits einige Erfahrungswerte gesammelt und relevante Infos?
Danke für Tipps/Hilfestellungen!
Viele Grüße
Ziel ist es im Active Directory (Gesamtstruktur und Domäne auf 2016) Delegierungen von Berechtigungen auf Gruppen einzurichten.
Diese Berechtigungen sollen auf entsprechende OUs eingerichtet werden.
Dabei reichen die Standardvorlagen im Delegierungsassistent nicht aus.
Leider scheint bei Delegierung von bsp Benutzer erstellen (Attribut) bei der Anlage neuer Benutzer diverse Fehlermeldungen. Somit sind womöglich noch weitere Attribute zu berechtigen.
Fragen:
1.
Welche Webseiten / Fachbücher / Whitepapers / etc. beschreiben bzw. erklären die genaue Funktionsweise (auch unter der "Haube") der Berechtigungen im AD?
Denn auch AD gibt es die Vererbung der Berechtigungen (ähnlich wie bei NTFS).
2.
Welche Tools gibt es neben den Windows Boardmittel AD-User und Computer / LDP.exe mit denen man die Zugriffssteuerungslisten von OUs nicht nur auslesen, sondern auch anpassen kann?
3.
Gibt es Tabellen zu all den verschiedenen AD-Attributen (die bsp per lesen / schreiben berechtigt werden können) und deren Bedeutung?
Hat jemand mit diesem Thema bereits einige Erfahrungswerte gesammelt und relevante Infos?
Danke für Tipps/Hilfestellungen!
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666527
Url: https://administrator.de/contentid/666527
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
- http://www.tecchannel.de/server/windows/460445/sicherheitsmanagement_im ...
- Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt
- https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
- http://www.kouti.com/tables/userattributes.htm
- https://techgenix.com/Implementing-Active-Directory-Delegation-Administr ...
Gruß w.
Ich würde einen anderen Ansatz verfolgen, der ohne Delegation auskommt:
Beispiel: Du willst, das Gruppe X andere Nutzer in der OU Y erstellen kann.
Dazu erstellst Du am DC oder einem anderen Fileserver eine Freigabe, auf der lediglich Gruppe X schreiben kann.
Ein Mitglied von X erstellt dort eine Textdatei mit allen Infos, kommagetrennt, zum Beispiel
(Nachname, Vorname, Telefonnummer)
Nun lässt Du am DC per geplantem Task alle 5 Minuten ein Powershell-Skript laufen, das diese Textdateien als Systemkonto abarbeitet und daraus Nutzer erstellt und danach die Eingabedatei löscht.
Gibt es Berechtigungsprobleme? Nö. Muss was gekauft werden? Nö. Ist das unsicher? Nö.
Die Textdateien müssen korrekt erstellt werden, das ist alles. Dazu könntest Du den Nutzern in diese Ordner eine Batch legen, welche einfach all diese Attribute abfragt und dann in eine Datei schreibt, die verarbeitet wird.
Beispiel: Du willst, das Gruppe X andere Nutzer in der OU Y erstellen kann.
Dazu erstellst Du am DC oder einem anderen Fileserver eine Freigabe, auf der lediglich Gruppe X schreiben kann.
Ein Mitglied von X erstellt dort eine Textdatei mit allen Infos, kommagetrennt, zum Beispiel
Mustermann,Max,01723325521
Nun lässt Du am DC per geplantem Task alle 5 Minuten ein Powershell-Skript laufen, das diese Textdateien als Systemkonto abarbeitet und daraus Nutzer erstellt und danach die Eingabedatei löscht.
Gibt es Berechtigungsprobleme? Nö. Muss was gekauft werden? Nö. Ist das unsicher? Nö.
Die Textdateien müssen korrekt erstellt werden, das ist alles. Dazu könntest Du den Nutzern in diese Ordner eine Batch legen, welche einfach all diese Attribute abfragt und dann in eine Datei schreibt, die verarbeitet wird.
Diesen Vorschlag hast Du vor Kurzen an einer anderen Stelle schon gemacht. Ich finde Ihn echt GENIAL!!!
Das Beste daran: Eine solche Datei mit den erforderlichen Daten zu befüllen, dass schafft im Prinzip jeder Mitarbeiter, ohne auch nur den Hauch an Ahnung von IT-Administration haben zu müssen. Der technische Teil ist in jedem Fall automatisierbar, so dass das höchst effizient erscheint.
Viele Grüße
HansDampf06
Das Beste daran: Eine solche Datei mit den erforderlichen Daten zu befüllen, dass schafft im Prinzip jeder Mitarbeiter, ohne auch nur den Hauch an Ahnung von IT-Administration haben zu müssen. Der technische Teil ist in jedem Fall automatisierbar, so dass das höchst effizient erscheint.
Viele Grüße
HansDampf06