estefania
Goto Top

AD - Berechtigungen setzen für "Kennwort läuft ab"

Hi.

Ich hab eine Frage.
Ich möchte einen Mitarbeiter das Recht geben, die Einstellung bei "Kennwort läuft ab" zu setzen.
Dieser Mitarbeiter soll aber nur dieses Recht bekommen (siehe auch das Bild dazu)


Kann ich das über die AD berechtigen?
Wie müsste es dann ausssehen?

Dankeschön
cleanshot 2022-06-13 at 07.53.35@2x

Content-ID: 3059616897

Url: https://administrator.de/contentid/3059616897

Printed on: October 10, 2024 at 05:10 o'clock

JasperBeardley
JasperBeardley Jun 12, 2022 at 20:25:58 (UTC)
Goto Top
Moin,

das hat nichts mit dem Kennwort zu tun.
Bei dieser Einstellung wird das Konto deaktiviert.

Gruß
Jasper
Estefania
Estefania Jun 12, 2022 at 20:29:01 (UTC)
Goto Top
Ja genau. Aber diejenige Person soll es ändern können
cykes
cykes Jun 13, 2022 at 04:28:15 (UTC)
Goto Top
Hi,

meinst Du wirklich das Konto-Ablaufdatum oder nicht vielleicht doch die per GPO gesetzten Kennwortrichtlinien und da im speziellen den Ablauf-Zewitraum des Kennworts (aka. "Kennwort-Alterung"), wann es geändert werden muss?

Im Übrigen solltest Du keine Bilder von anderen Seiten "klauen", lieber den Screenshot selbst erstellen und hier hochladen.

Grundsätzlich ist das natürlich eine Sache der Rechte-Delegierung, vgl. bspw. https://www.dnsstuff.com/de/active-directory-delegierung

Gruß

cykes
Estefania
Estefania Jun 13, 2022 at 05:57:08 (UTC)
Goto Top
Ja ich meine das Konto-Ablaufdatum. Delegierung hört sich ganz gut an.. aber an welcher Stelle müsste denn die Berechtigung hierfür vergeben werden?
emeriks
emeriks Jun 13, 2022 at 07:37:05 (UTC)
Goto Top
Hi,
der Admin-Benutzer muss das Attribut "accountExpires" des Zielbenutzers schreiben können.

E.
colinardo
Solution colinardo Jun 13, 2022 updated at 11:11:26 (UTC)
Goto Top
Servus @Estefania .
Zitat von @Estefania:

Ja ich meine das Konto-Ablaufdatum. Delegierung hört sich ganz gut an.. aber an welcher Stelle müsste denn die Berechtigung hierfür vergeben werden?
Dazu hast du diverse Möglichkeiten, hier ein paar...

back-to-topPer GUI

  1. ADUC MMC öffnen, Rechtsklick auf die entsprechende OU > Objektverwaltung zuweisen
  2. Benutzer hinzufügen
  3. Benutzerdefinierte Aufgaben zum Zuweisen erstellen wählen
  4. Folgende Objekte im Ordner wählen und dort Benutzer-Objekte
  5. Dann nur Eigenschaften spezifisch anhaken und unter Berechtigungen "accountExpires schreiben" anhaken.

back-to-topOder das ganze per Powershell
# Import ActiveDirectory Module
Import-Module ActiveDirectory
# OU where the account will be able to write the property
$OU = 'OU=Verwaltung,DC=domain,dc=tld'  
# Group/Account for which to delegate the property
$account = [System.Security.Principal.NTAccount]"maxmuster"  
# get acl of the OU
$acl = Get-ACL "AD:$OU"  
# create the access rule
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($account,'WriteProperty','Allow','{bf967915-0de6-11d0-a285-00aa003049e2}','Descendents',"{bf967aba-0de6-11d0-a285-00aa003049e2}")  
# add the rule to acl
$acl.AddAccessRule($rule)
# save acl back to the OU
Set-ACL "AD:$OU" $acl  

back-to-topOder direkt über den Reiter Sicherheit der OU in der ADUC MMC.

oder per dsacls, Add-ADPermission usw. da bist du frei in der Wahl der Mittel face-smile. Hier noch mehr Infos zu Delegation:


Grüße Uwe
Estefania
Estefania Jul 02, 2022 at 19:03:41 (UTC)
Goto Top
Vielen Dank für eure Mühe.