estefania
12.06.2022, aktualisiert am 13.06.2022
view3051
view7
0
Goto Top

AD - Berechtigungen setzen für "Kennwort läuft ab"

gelöstFrageMicrosoftWindows Server
Hi.

Ich hab eine Frage.
Ich möchte einen Mitarbeiter das Recht geben, die Einstellung bei "Kennwort läuft ab" zu setzen.
Dieser Mitarbeiter soll aber nur dieses Recht bekommen (siehe auch das Bild dazu)


Kann ich das über die AD berechtigen?
Wie müsste es dann ausssehen?

Dankeschön
cleanshot 2022-06-13 at 07.53.35@2x
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3059616897

Url: https://administrator.de/contentid/3059616897

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
JasperBeardley
JasperBeardley 12.06.2022 um 22:25:58 Uhr
Goto Top
Moin,

das hat nichts mit dem Kennwort zu tun.
Bei dieser Einstellung wird das Konto deaktiviert.

Gruß
Jasper
Estefania
Estefania 12.06.2022 um 22:29:01 Uhr
Goto Top
Ja genau. Aber diejenige Person soll es ändern können
cykes
cykes 13.06.2022 um 06:28:15 Uhr
Goto Top
Hi,

meinst Du wirklich das Konto-Ablaufdatum oder nicht vielleicht doch die per GPO gesetzten Kennwortrichtlinien und da im speziellen den Ablauf-Zewitraum des Kennworts (aka. "Kennwort-Alterung"), wann es geändert werden muss?

Im Übrigen solltest Du keine Bilder von anderen Seiten "klauen", lieber den Screenshot selbst erstellen und hier hochladen.

Grundsätzlich ist das natürlich eine Sache der Rechte-Delegierung, vgl. bspw. https://www.dnsstuff.com/de/active-directory-delegierung

Gruß

cykes
Estefania
Estefania 13.06.2022 um 07:57:08 Uhr
Goto Top
Ja ich meine das Konto-Ablaufdatum. Delegierung hört sich ganz gut an.. aber an welcher Stelle müsste denn die Berechtigung hierfür vergeben werden?
emeriks
emeriks 13.06.2022 um 09:37:05 Uhr
Goto Top
Hi,
der Admin-Benutzer muss das Attribut "accountExpires" des Zielbenutzers schreiben können.

E.
colinardo
Lösung colinardo 13.06.2022 aktualisiert um 13:11:26 Uhr
Goto Top
Servus @Estefania .
Zitat von @Estefania:

Ja ich meine das Konto-Ablaufdatum. Delegierung hört sich ganz gut an.. aber an welcher Stelle müsste denn die Berechtigung hierfür vergeben werden?
Dazu hast du diverse Möglichkeiten, hier ein paar...

back-to-topPer GUI

  1. ADUC MMC öffnen, Rechtsklick auf die entsprechende OU > Objektverwaltung zuweisen
  2. Benutzer hinzufügen
  3. Benutzerdefinierte Aufgaben zum Zuweisen erstellen wählen
  4. Folgende Objekte im Ordner wählen und dort Benutzer-Objekte
  5. Dann nur Eigenschaften spezifisch anhaken und unter Berechtigungen "accountExpires schreiben" anhaken.

back-to-topOder das ganze per Powershell
# Import ActiveDirectory Module
Import-Module ActiveDirectory
# OU where the account will be able to write the property
$OU = 'OU=Verwaltung,DC=domain,dc=tld'  
# Group/Account for which to delegate the property
$account = [System.Security.Principal.NTAccount]"maxmuster"  
# get acl of the OU
$acl = Get-ACL "AD:$OU"  
# create the access rule
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($account,'WriteProperty','Allow','{bf967915-0de6-11d0-a285-00aa003049e2}','Descendents',"{bf967aba-0de6-11d0-a285-00aa003049e2}")  
# add the rule to acl
$acl.AddAccessRule($rule)
# save acl back to the OU
Set-ACL "AD:$OU" $acl

back-to-topOder direkt über den Reiter Sicherheit der OU in der ADUC MMC.

oder per dsacls, Add-ADPermission usw. da bist du frei in der Wahl der Mittel face-smile. Hier noch mehr Infos zu Delegation:


Grüße Uwe
Estefania
Estefania 02.07.2022 um 21:03:41 Uhr
Goto Top
Vielen Dank für eure Mühe.
gelöstFrageMicrosoftWindows Server
Mehr von EstefaniaEstefaniaExchange Kalender - Unterkalender für mehrere User freigeben !?Estefania - 4 KommentareEstefaniaKontingente über Powershell vergeben - Wie?Estefania - 15 KommentareEstefaniaLDAP Abfrage nur auf eine bestimmte OUEstefania - 8 KommentareEstefaniaLUN unmounten - Probleme wenn andere Hosts darauf noch zugreifen?Estefania - 4 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare