AD - Berechtigungen setzen für "Kennwort läuft ab"
Hi.
Ich hab eine Frage.
Ich möchte einen Mitarbeiter das Recht geben, die Einstellung bei "Kennwort läuft ab" zu setzen.
Dieser Mitarbeiter soll aber nur dieses Recht bekommen (siehe auch das Bild dazu)
Kann ich das über die AD berechtigen?
Wie müsste es dann ausssehen?
Dankeschön
Ich hab eine Frage.
Ich möchte einen Mitarbeiter das Recht geben, die Einstellung bei "Kennwort läuft ab" zu setzen.
Dieser Mitarbeiter soll aber nur dieses Recht bekommen (siehe auch das Bild dazu)
Kann ich das über die AD berechtigen?
Wie müsste es dann ausssehen?
Dankeschön
Please also mark the comments that contributed to the solution of the article
Content-ID: 3059616897
Url: https://administrator.de/contentid/3059616897
Printed on: October 10, 2024 at 05:10 o'clock
7 Comments
Latest comment
Hi,
meinst Du wirklich das Konto-Ablaufdatum oder nicht vielleicht doch die per GPO gesetzten Kennwortrichtlinien und da im speziellen den Ablauf-Zewitraum des Kennworts (aka. "Kennwort-Alterung"), wann es geändert werden muss?
Im Übrigen solltest Du keine Bilder von anderen Seiten "klauen", lieber den Screenshot selbst erstellen und hier hochladen.
Grundsätzlich ist das natürlich eine Sache der Rechte-Delegierung, vgl. bspw. https://www.dnsstuff.com/de/active-directory-delegierung
Gruß
cykes
meinst Du wirklich das Konto-Ablaufdatum oder nicht vielleicht doch die per GPO gesetzten Kennwortrichtlinien und da im speziellen den Ablauf-Zewitraum des Kennworts (aka. "Kennwort-Alterung"), wann es geändert werden muss?
Im Übrigen solltest Du keine Bilder von anderen Seiten "klauen", lieber den Screenshot selbst erstellen und hier hochladen.
Grundsätzlich ist das natürlich eine Sache der Rechte-Delegierung, vgl. bspw. https://www.dnsstuff.com/de/active-directory-delegierung
Gruß
cykes
Servus @Estefania .
oder per dsacls, Add-ADPermission usw. da bist du frei in der Wahl der Mittel . Hier noch mehr Infos zu Delegation:
Grüße Uwe
Zitat von @Estefania:
Ja ich meine das Konto-Ablaufdatum. Delegierung hört sich ganz gut an.. aber an welcher Stelle müsste denn die Berechtigung hierfür vergeben werden?
Dazu hast du diverse Möglichkeiten, hier ein paar...Ja ich meine das Konto-Ablaufdatum. Delegierung hört sich ganz gut an.. aber an welcher Stelle müsste denn die Berechtigung hierfür vergeben werden?
Per GUI
- ADUC MMC öffnen, Rechtsklick auf die entsprechende OU > Objektverwaltung zuweisen
- Benutzer hinzufügen
- Benutzerdefinierte Aufgaben zum Zuweisen erstellen wählen
- Folgende Objekte im Ordner wählen und dort Benutzer-Objekte
- Dann nur Eigenschaften spezifisch anhaken und unter Berechtigungen "accountExpires schreiben" anhaken.
Oder das ganze per Powershell
# Import ActiveDirectory Module
Import-Module ActiveDirectory
# OU where the account will be able to write the property
$OU = 'OU=Verwaltung,DC=domain,dc=tld'
# Group/Account for which to delegate the property
$account = [System.Security.Principal.NTAccount]"maxmuster"
# get acl of the OU
$acl = Get-ACL "AD:$OU"
# create the access rule
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($account,'WriteProperty','Allow','{bf967915-0de6-11d0-a285-00aa003049e2}','Descendents',"{bf967aba-0de6-11d0-a285-00aa003049e2}")
# add the rule to acl
$acl.AddAccessRule($rule)
# save acl back to the OU
Set-ACL "AD:$OU" $acl
Oder direkt über den Reiter Sicherheit der OU in der ADUC MMC.
oder per dsacls, Add-ADPermission usw. da bist du frei in der Wahl der Mittel . Hier noch mehr Infos zu Delegation:
- Die Delegation von Berechtigungen
- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
- AD-Adressen im Sekretariat bearbeiten lassen
Grüße Uwe