3
Benutzer aufgaben Delegieren zum erstellen von Konten bzw. Kennwort zurücksetzen
Was muss ich einstellen damit User dies dürfen bzw. können.
Hallo, ich habe ein kleines Problem.
Wir haben einen Windows Server 2003 mit XP-Clients.
Ich möchte das ein Benutzer von einem sehr abgespektem Konto (z. B. Benutzername: "Benuter anlegen") Kontos anlegen und Kennwörter zurücksetzen dürfen.
Mit anderen Worten:
Ein rechner besitzt das AdminPack.
Es gibt ein einziges Konto wo nix weiter gemacht wird, wie Kennwörter der Mitarbeiter zurückzusetzen oder mal einen Benutzer anzulegen.
Mein Problem ist:
Wenn ich dieser Gruppe/Benutzer das delegiere, kann er Benutzer erstellen, Kennwörter zurücksetzen, alles Mögliche ändern und Benutzer Löschen. Das ganze kann er leider überall, inkl Domänen Admins. Außer bei Benutzer der Administratoren.
Ich möchte aber das man von diesem Konto, nur folgende sachen darf.
Administratoren: nix
Domänen-Admins: nix
Gruppe "Benutzer xxx" nix
Gruppe "Benutzer yyy" Kennwort ändern/zurücksetzen, Benutzer Aktivieren / Deaktivieren, Benutzer erstellen (automatisch in Gruppe "yyy")
Sämtliche einstellungen (egal ob "yyy" oder "xxx" sollen nicht verändert werden können (Netzlaufwerk, Anmeldezeiten, Anmelden an...)
Er darf keine Benutzer Löschen können, egal welcher Gruppe er angehört. Erstellen JA Löschen NEIN.
Ich habe schon viele Häckchen probiert bei dem Delegieren, allerdings bekomm ich oft Fehlermeldungen beim Erstellen von Benutzern. Das Deaktivieren bzw. Aktivieren von Benutzern klappt fast immer. Leider auch bei anderen Gruppen wo es nicht gehen soll.
Das Konto was ich dafür habe, habe ich über die Gruppenrichtlinie so weit abgespeckt, dass man nur DAS machen kann. keine Programme, Internet, Festplattenzugriff...
Ich hoffe ich habe das verständlich geschrieben. Weiß nicht wie ich es Erklären soll.
Hallo, ich habe ein kleines Problem.
Wir haben einen Windows Server 2003 mit XP-Clients.
Ich möchte das ein Benutzer von einem sehr abgespektem Konto (z. B. Benutzername: "Benuter anlegen") Kontos anlegen und Kennwörter zurücksetzen dürfen.
Mit anderen Worten:
Ein rechner besitzt das AdminPack.
Es gibt ein einziges Konto wo nix weiter gemacht wird, wie Kennwörter der Mitarbeiter zurückzusetzen oder mal einen Benutzer anzulegen.
Mein Problem ist:
Wenn ich dieser Gruppe/Benutzer das delegiere, kann er Benutzer erstellen, Kennwörter zurücksetzen, alles Mögliche ändern und Benutzer Löschen. Das ganze kann er leider überall, inkl Domänen Admins. Außer bei Benutzer der Administratoren.
Ich möchte aber das man von diesem Konto, nur folgende sachen darf.
Administratoren: nix
Domänen-Admins: nix
Gruppe "Benutzer xxx" nix
Gruppe "Benutzer yyy" Kennwort ändern/zurücksetzen, Benutzer Aktivieren / Deaktivieren, Benutzer erstellen (automatisch in Gruppe "yyy")
Sämtliche einstellungen (egal ob "yyy" oder "xxx" sollen nicht verändert werden können (Netzlaufwerk, Anmeldezeiten, Anmelden an...)
Er darf keine Benutzer Löschen können, egal welcher Gruppe er angehört. Erstellen JA Löschen NEIN.
Ich habe schon viele Häckchen probiert bei dem Delegieren, allerdings bekomm ich oft Fehlermeldungen beim Erstellen von Benutzern. Das Deaktivieren bzw. Aktivieren von Benutzern klappt fast immer. Leider auch bei anderen Gruppen wo es nicht gehen soll.
Das Konto was ich dafür habe, habe ich über die Gruppenrichtlinie so weit abgespeckt, dass man nur DAS machen kann. keine Programme, Internet, Festplattenzugriff...
Ich hoffe ich habe das verständlich geschrieben. Weiß nicht wie ich es Erklären soll.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158548
Url: https://administrator.de/contentid/158548
Ausgedruckt am: 19.11.2024 um 13:11 Uhr
3 Kommentare
Neuester Kommentar
moin,
denkansätze
ich würde
handelt. Und am besten das ganze via >>logfile.ini - damit es einen Nachweis gibt.
Das ist "etwas"sichereranderes, als die Keule mit dem großen mmc Werkzeug.
Und du kannst - eher davon ausgehen, dass er nur das machen kann, was du Ihm aufgetragen hast.
Mißbrauch ist so zwar nicht ausgeschlossen, aber du kannst sicherer sein, dass nur dann ein User angelegt wird - wenn alle nötigen Felder ausgefüllt sind. (das meine ich mit "sicher" - nicht sicher im Sinne von Sicherheit)
Gruß
denkansätze
ich würde
- dem User das Admin Pack wieder wegnehmen
- den als Verwalter in die OU reinstecken, wo er fuhrwerken darf
- für jeden der gewünschten Zwecke in der AD ein Script bauen, das sich primär um Varianten des Befehls
- net user password /domain
- net user password /domain /add
handelt. Und am besten das ganze via >>logfile.ini - damit es einen Nachweis gibt.
Das ist "etwas"
Und du kannst - eher davon ausgehen, dass er nur das machen kann, was du Ihm aufgetragen hast.
Mißbrauch ist so zwar nicht ausgeschlossen, aber du kannst sicherer sein, dass nur dann ein User angelegt wird - wenn alle nötigen Felder ausgefüllt sind. (das meine ich mit "sicher" - nicht sicher im Sinne von Sicherheit)
Gruß
Zitat von @60730:
moin,
denkansätze
ich würde
in welche Gruppe soll ich den Benutzer stecken? Gibt es eine Gruppe namens "Verwalter"?moin,
denkansätze
ich würde
- dem User das Admin Pack wieder wegnehmen
- den als Verwalter in die OU reinstecken, wo er fuhrwerken darf
* für jeden der gewünschten Zwecke in der AD ein Script bauen, das sich primär um Varianten des Befehls
gibt es irgendwo eine Liste mit befehlen, also net user password /domein ist für Password... aber wo finde ich die Anderen?- net user password /domain
- net user password /domain /add
handelt. Und am besten das ganze via >>logfile.ini - damit es einen Nachweis gibt.
Das ist "etwas"
Und du kannst - eher davon ausgehen, dass er nur das machen kann, was du Ihm aufgetragen hast.
Mißbrauch ist so zwar nicht ausgeschlossen, aber du kannst sicherer sein, dass nur dann ein User angelegt wird - wenn alle
nötigen Felder ausgefüllt sind. (das meine ich mit "sicher" - nicht sicher im Sinne von Sicherheit)
vielen Dank
Moin Moin
Du wirst wohl kein Tool finden das nur deinen individuellen Delegationsanforderungen entspricht.
Zum Thema Delegation gibts hier ein gutes HowTo: http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
Gruß L.
gibt es irgendwo eine Liste mit befehlen, also net user password /domein ist für Password... aber wo finde ich die Anderen?
äh, Net User /?Soll ich mir da eine Eingabemaske bauen,
Wenn Du möchtest, aber mal kann Skripte doch auch mit Parametern versehen oder Eingaben abfragen lassen.oder gibts da ein Tool außer dem Adminpack?
Die gibt es sicher nur leisten diese (im groben) genau das gleiche.Du wirst wohl kein Tool finden das nur deinen individuellen Delegationsanforderungen entspricht.
Zum Thema Delegation gibts hier ein gutes HowTo: http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
Gruß L.
