Active Directory - Windows Server 2008 R2 - Einrichten eines eingeschränkten Benutzers zur Administration einer spezifischen ungeordneten OU
Hi ich bin noch relativ neu auf dem Gebiet von Server 2008 R2, Active-Directory und Exchange Server, da mir diverse Suchvorgänge noch nichts brauchbares ausgespuckt haben wende ich mich nun an Euch!
Guten Abend zusammen,
ich baue mir gerade eine virtuelle Testumgebung mit Server 2008 R2 auf um mich ein wenig mehr mit Active-Directory etc. auseinander zu setzen.
Das AD steht soweit auch schon, eine Haupt OU mit mehreren Unter-OUs, darin verteilt ein paar Testuser und Testgruppen sind bereits vorhanden.
Ich hätte zusätzlich gerne einen User ohne Adminrechte, mit dem ich innerhalb der Active-Directory Benutzer- und Computerverwaltung in einer spezifischen Untergeordneten OU neue Benutzer und Gruppen hinzufügen kann. Dieser Benutzer soll allerdings, sofern möglich die restlichen Elemente des AD's nicht sehen und verändern dürfen.
Lässt sich so etwas überhaupt realisieren?
Bisher habe ich einen zusätzlichen Benutzer (Domänenbenutzer, Mitglied von Remotedesktopbenutzer) eingerichtet und per Objektverwaltung berechtigt, in einer spezifischen Unter-OU Benutzer hinzuzufügen. Anmeldung via RDP funktioniert nach Anpassen der lokalen Sicherheitsrichtlinie auch.
Wie gehts nun weiter?
Guten Abend zusammen,
ich baue mir gerade eine virtuelle Testumgebung mit Server 2008 R2 auf um mich ein wenig mehr mit Active-Directory etc. auseinander zu setzen.
Das AD steht soweit auch schon, eine Haupt OU mit mehreren Unter-OUs, darin verteilt ein paar Testuser und Testgruppen sind bereits vorhanden.
Ich hätte zusätzlich gerne einen User ohne Adminrechte, mit dem ich innerhalb der Active-Directory Benutzer- und Computerverwaltung in einer spezifischen Untergeordneten OU neue Benutzer und Gruppen hinzufügen kann. Dieser Benutzer soll allerdings, sofern möglich die restlichen Elemente des AD's nicht sehen und verändern dürfen.
Lässt sich so etwas überhaupt realisieren?
Bisher habe ich einen zusätzlichen Benutzer (Domänenbenutzer, Mitglied von Remotedesktopbenutzer) eingerichtet und per Objektverwaltung berechtigt, in einer spezifischen Unter-OU Benutzer hinzuzufügen. Anmeldung via RDP funktioniert nach Anpassen der lokalen Sicherheitsrichtlinie auch.
Wie gehts nun weiter?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 133081
Url: https://administrator.de/forum/active-directory-windows-server-2008-r2-einrichten-eines-eingeschraenkten-benutzers-zur-administration-einer-133081.html
Ausgedruckt am: 07.04.2025 um 20:04 Uhr
5 Kommentare
Neuester Kommentar
Salve,
so wie du es bisher durchgeführt hast, ist es korrekt. Du kannst Domänen-Benutzern die gewünschten Rechte im AD
über die Objektdelegierung delegieren [1].
Was aber das "nicht sehen" anbetrifft, ist das nicht ohne. Standardmäßig hat nämlich jeder authentifizierte Benutzer (Benutzer- sowie Computerobjekte)
das Leserecht im AD, was auch gut ist. Denn das AD dient in erster Linie der Netzwerkverwaltung. Du könntest wie es die Kollegen schon erwähnt haben,
dem Benutzer das Lesrecht an den Objekten die er nicht sehen soll entziehen. Doch was soll das bringen? Jeder Domänen-Benutzer hat auf das komplette
AD das Leserecht. Warum möchtest diesem einen das Recgt entziehen?
Wenn du nicht genau weißt was du tust und du mit der Materie nicht zu 100% vertraut bist, lass besser die Finger davon.
Ja ich weiß, du versuchst das in einer Testumgebung. Diese Aussage gilt für produktive Umgebungen.
Wie es weiter gehen soll? Na das musst du wissen was du testen möchtest.
[1] [LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
so wie du es bisher durchgeführt hast, ist es korrekt. Du kannst Domänen-Benutzern die gewünschten Rechte im AD
über die Objektdelegierung delegieren [1].
Was aber das "nicht sehen" anbetrifft, ist das nicht ohne. Standardmäßig hat nämlich jeder authentifizierte Benutzer (Benutzer- sowie Computerobjekte)
das Leserecht im AD, was auch gut ist. Denn das AD dient in erster Linie der Netzwerkverwaltung. Du könntest wie es die Kollegen schon erwähnt haben,
dem Benutzer das Lesrecht an den Objekten die er nicht sehen soll entziehen. Doch was soll das bringen? Jeder Domänen-Benutzer hat auf das komplette
AD das Leserecht. Warum möchtest diesem einen das Recgt entziehen?
Wenn du nicht genau weißt was du tust und du mit der Materie nicht zu 100% vertraut bist, lass besser die Finger davon.
Ja ich weiß, du versuchst das in einer Testumgebung. Diese Aussage gilt für produktive Umgebungen.
Wie es weiter gehen soll? Na das musst du wissen was du testen möchtest.
[1] [LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
Der Benutzer dem du die entsprechenden Rechte im AD delegieren möchtest, sollte idealerweise ein zweites Konto
haben und genau diesem zweiten Konto, delegierst du die Rechte. (z.B. Benutzer und Benutzer-Admin).
Der Benutzer ist mit seinem "normalen" Benutzerkonto an seinem Client angemeldet und startet die
MMC "Active Directory-Benutzer und -Computer" mit seinem zweiten Benutzerkonto (Benutzer-Admin).
Der Benutzer dem du die Rechte delegiert hast, kann dann nur in der OU das tun, was du ihm erlaubst.
Alle anderen OUs samt den Objekten die sich in den OUs befinden kann er zwar sehen, aber nichts daran verändern.
Delegierst du dem Benutzer das er in OU1 Benutzer erstellen und administrtieren darf, so kann er in allen anderen OUs
selbstverständlich nichts anderes, als sich lediglich die Objekte anzeigen.
Gruß, Yusuf Dikmenoglu
haben und genau diesem zweiten Konto, delegierst du die Rechte. (z.B. Benutzer und Benutzer-Admin).
Der Benutzer ist mit seinem "normalen" Benutzerkonto an seinem Client angemeldet und startet die
MMC "Active Directory-Benutzer und -Computer" mit seinem zweiten Benutzerkonto (Benutzer-Admin).
Der Benutzer dem du die Rechte delegiert hast, kann dann nur in der OU das tun, was du ihm erlaubst.
Alle anderen OUs samt den Objekten die sich in den OUs befinden kann er zwar sehen, aber nichts daran verändern.
Delegierst du dem Benutzer das er in OU1 Benutzer erstellen und administrtieren darf, so kann er in allen anderen OUs
selbstverständlich nichts anderes, als sich lediglich die Objekte anzeigen.
Gruß, Yusuf Dikmenoglu