7
AD Benutzer kopieren oder neu anlegen?
Moin,
ich habe neulich mit meinem Kollegen eine kleine Diskussion rund ums anlegen neuer AD Benutzer gehabt.
Ich habe, um es mir einfach zu machen, bisher immer Benutzer mit den gleichen Berechtigungen kopiert.
Er ist der Meinung, dass man die Benutzer grundsätzlich neu anlegen sollte, da sonst gewisse Informationen falsch übertragen werden könnten.
Wir nutzen in der AD keine servergespeicherten Profile o.ä. der User bekommt nur Name, Vorname und die entsprechenden Gruppen übergeben.
Ehrlich gesagt sehe ich auch keinen Nachteil daran, wenn ich einen Account kopiere.
Wie seht ihr das?
ich habe neulich mit meinem Kollegen eine kleine Diskussion rund ums anlegen neuer AD Benutzer gehabt.
Ich habe, um es mir einfach zu machen, bisher immer Benutzer mit den gleichen Berechtigungen kopiert.
Er ist der Meinung, dass man die Benutzer grundsätzlich neu anlegen sollte, da sonst gewisse Informationen falsch übertragen werden könnten.
Wir nutzen in der AD keine servergespeicherten Profile o.ä. der User bekommt nur Name, Vorname und die entsprechenden Gruppen übergeben.
Ehrlich gesagt sehe ich auch keinen Nachteil daran, wenn ich einen Account kopiere.
Wie seht ihr das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7684057387
Url: https://administrator.de/contentid/7684057387
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
7 Kommentare
Neuester Kommentar
Welche Informationen sollen "falsch" sein? Username, SID, Displayname etc. sind einzigartig und können im AD nicht doppelt vorhanden sein.
1
Moin,
dann sollte er Dir dich einfach mal erklären, was "gewisse Informationen" genau sind.
Ich kopiere Benutzerkonten...
Gruß
dann sollte er Dir dich einfach mal erklären, was "gewisse Informationen" genau sind.
Ich kopiere Benutzerkonten...
Gruß
1
Hallo,
ich kopiere auch Benutzerkonten. Aber beim Kopieren werden eben auch z.B. die Gruppenmitgliedschaften kopiert. Die meisten AD-Attribute werden zurückgesetzt (z.B: proxyAddresses). Allerdings finde ich dazu keinen Microsoft-Link.
Beim Kopieren besteht natürlich grundsätzlich die Gefahr, dass Fehlkonfigurationen mitkopiert werden. Und beim Neuerstellen besteht die Gefahr, dass man einzelne Konfigurationen vergisst.
Allerdings kopiert man ja die User meist, weil man die Gruppenmitgliedschaften nicht manuell anlegen will.
Etwas anderes ist das "Wiederverwenden" von Konten. Einige AD-Berechtigungen werden nicht nur über Gruppenmitgliedschaften erteilt, sondern sind an die SID gebunden. Daher sollte man ehemalige Admin-Konten nicht mehr als nicht-Admin-Konten benutzen.
Grüße
lcer
ich kopiere auch Benutzerkonten. Aber beim Kopieren werden eben auch z.B. die Gruppenmitgliedschaften kopiert. Die meisten AD-Attribute werden zurückgesetzt (z.B: proxyAddresses). Allerdings finde ich dazu keinen Microsoft-Link.
Beim Kopieren besteht natürlich grundsätzlich die Gefahr, dass Fehlkonfigurationen mitkopiert werden. Und beim Neuerstellen besteht die Gefahr, dass man einzelne Konfigurationen vergisst.
Allerdings kopiert man ja die User meist, weil man die Gruppenmitgliedschaften nicht manuell anlegen will.
Etwas anderes ist das "Wiederverwenden" von Konten. Einige AD-Berechtigungen werden nicht nur über Gruppenmitgliedschaften erteilt, sondern sind an die SID gebunden. Daher sollte man ehemalige Admin-Konten nicht mehr als nicht-Admin-Konten benutzen.
Grüße
lcer
Moin,
wir legen Neu an.
es gibt eine Gruppe, die die Rolle/ Funktion der Person beschreibt. z. B. Vertrieb oder Einkauf
Diese Gruppe (welche ja schon im Vorfeld existierte) steckt dann in den ganzen App-/ Drucker-/ Ordnergruppen drin, womit wir rund 90% der Zuordnung schon mal erschlagen haben.
Die übrigen 2-4 Gruppen beziehen sich dann auf Rechte in Systemen, die mit verschachtelten Gruppen nichts anfangen können....
wir legen Neu an.
Allerdings kopiert man ja die User meist, weil man die Gruppenmitgliedschaften nicht manuell anlegen will.
also wir müssen die neuen User vielleicht in max. einer Handvoll AD-Gruppen zuordnen.es gibt eine Gruppe, die die Rolle/ Funktion der Person beschreibt. z. B. Vertrieb oder Einkauf
Diese Gruppe (welche ja schon im Vorfeld existierte) steckt dann in den ganzen App-/ Drucker-/ Ordnergruppen drin, womit wir rund 90% der Zuordnung schon mal erschlagen haben.
Die übrigen 2-4 Gruppen beziehen sich dann auf Rechte in Systemen, die mit verschachtelten Gruppen nichts anfangen können....
Moin,
ich kopiere den deaktivierten Default User der OU.
hth
Erik
ich kopiere den deaktivierten Default User der OU.
hth
Erik
Hi,
Ich denke, beides ist irgendwo "richtig" und/oder "falsch". Das kommt immer auf den konkreten Fall an.
Wenn man öfters neue Konten anlegen muss, einfach weil die Organisation größer ist und damit eine laufende Fluktuation der Mitarbeitenden zu erwarten ist, dann ist Kopieren natürlich eine bequeme Sache. Allerdings würde ich mir in diesem Fall für alle Bereiche (Fachbreiche, Abteilungen usw.) deaktivierte Template-Konten anlegen und diese dann kopieren, statt produktive Konten zu kopieren. Natürlich muss man diese Templates über die Zeit dann auch aktuell halten. Wenn also mal die Konten von Abteilung A alle in eine weitere Gruppe kommen, dann muss man das am Template für Abteilung A auch eintragen, damit neue, davon abgeleitete Konten diese Mitgliedschaft auch gleich haben.
In Gesamtstrukturen mit mehreren Domänen muss man sich bewusst sein, dass domänenübergreifende Mitgliedschaften beim Kopieren von Konten mit der MMC nicht übertragen werden, weil die DC's der anderen Domäne(n) das neue Konto nicht so schnell mitbekommen. Hier muss man dann nacharbeiten. Oder man kopiert nicht mir der MMC sondern mit eigens dafür erstellten Scripten, welche das berücksichtigen.
Beim Kopieren muss man auch aufpassen, dass das Homedirectory nur dann nicht übernommen wird, wenn der Name des Verzeichnisses gleichlauten zum sAMAccountName ist. Wenn Benutzer "domäne\MusterP" ein Homedirectory "\\server\freigabe\Ordner-X" hat, dann bekommt die Kopie auch genau dieses eingetragen. Hat der Benutzer "\\server\freigabe\MusterP", dann bekommt die Kopie automatisch einen eigenen Pfad mit dem sAMAccountName der Kopie.
E.
Zitat von @em-pie:
also wir müssen die neuen User vielleicht in max. einer Handvoll AD-Gruppen zuordnen.
Beneidenswert ...also wir müssen die neuen User vielleicht in max. einer Handvoll AD-Gruppen zuordnen.
Ich denke, beides ist irgendwo "richtig" und/oder "falsch". Das kommt immer auf den konkreten Fall an.
Wenn man öfters neue Konten anlegen muss, einfach weil die Organisation größer ist und damit eine laufende Fluktuation der Mitarbeitenden zu erwarten ist, dann ist Kopieren natürlich eine bequeme Sache. Allerdings würde ich mir in diesem Fall für alle Bereiche (Fachbreiche, Abteilungen usw.) deaktivierte Template-Konten anlegen und diese dann kopieren, statt produktive Konten zu kopieren. Natürlich muss man diese Templates über die Zeit dann auch aktuell halten. Wenn also mal die Konten von Abteilung A alle in eine weitere Gruppe kommen, dann muss man das am Template für Abteilung A auch eintragen, damit neue, davon abgeleitete Konten diese Mitgliedschaft auch gleich haben.
In Gesamtstrukturen mit mehreren Domänen muss man sich bewusst sein, dass domänenübergreifende Mitgliedschaften beim Kopieren von Konten mit der MMC nicht übertragen werden, weil die DC's der anderen Domäne(n) das neue Konto nicht so schnell mitbekommen. Hier muss man dann nacharbeiten. Oder man kopiert nicht mir der MMC sondern mit eigens dafür erstellten Scripten, welche das berücksichtigen.
Beim Kopieren muss man auch aufpassen, dass das Homedirectory nur dann nicht übernommen wird, wenn der Name des Verzeichnisses gleichlauten zum sAMAccountName ist. Wenn Benutzer "domäne\MusterP" ein Homedirectory "\\server\freigabe\Ordner-X" hat, dann bekommt die Kopie auch genau dieses eingetragen. Hat der Benutzer "\\server\freigabe\MusterP", dann bekommt die Kopie automatisch einen eigenen Pfad mit dem sAMAccountName der Kopie.
E.
Die Frage - zumindest theoretisch, in einer idealen Welt - ist halt, wie das in Form einer Doku/Vorgangsbeschreibung im Managementsystem verankert ist:
Was grundsätzlich nicht geht, jedenfalls bei einer Auditierung als Fallstrick erkannt wird:
Grüße
Richard
- Entweder es ist dort eine Typisierung jeder Art von Nutzer mit ihrer jeweiligen Rechtekombination dokumentiert, für die es im AD einen definierten Vorlagennutzer gibt. Dann kann eine Abteilung/HR/jeder Berechtigte einen Nutzer für Team X anfragen und der jeweilige Vorlagenbenutzer für X-Teammitglieder wird kopiert.
- Oder (wahrscheinlich der Normalfall) es gibt einen Anforderungsprozess für einen minimalberechtigten neuen Mitarbeiter, z.B. ausgelöst von HR, und weitere Prozesse für jede notwendige Berechtigung, die z.B. als Bündel bei Arbeitsantritt des Mitarbeiters von der Fachabteilung ausgelöst werden.
Was grundsätzlich nicht geht, jedenfalls bei einer Auditierung als Fallstrick erkannt wird:
- Im ersten Fall wählt der Admin nach seinem Ermessen einen beliebigen Nutzer für das Kopieren, den er für gleich berechtigt hält (dieser Nutzer bzw. die Auswahl kann nicht dokumentiert sein, und ist anfällig für evtl. Konfigurationsdrift des historischen Accounts).
- Im zweiten Fall verlangt die Fachabteilung einen Nutzer, der "genauso berechtigt" ist wie Jens Meier, weil er dessen Vertretung sein soll.
- Die Fachabteilung löst zwar Anfragen für sechs individuelle Berechtigungen aus, der Admin sieht sechs Tickets und denkt: Das ist doch die Vertretung von Jens Meier, den kopiere ich schnell.
Grüße
Richard
