8
Benutzereditor für Active Directory
Hallo zusammen,
für unsere HR-Abteilung benötige ich einen AD-User Editor, der es den HR_Mitarbeitern (insgesamt 4) ermöglicht, personenbezogene Felder der Mitarbeiter im AD zu ändern.
Ich bin sicherlich nicht der erste, der auf eine solche Idee kommt. Daher die Fragen:
Was ich nicht möchte:
Vielen Dank schon mal vorab.
Jörg
für unsere HR-Abteilung benötige ich einen AD-User Editor, der es den HR_Mitarbeitern (insgesamt 4) ermöglicht, personenbezogene Felder der Mitarbeiter im AD zu ändern.
Ich bin sicherlich nicht der erste, der auf eine solche Idee kommt. Daher die Fragen:
- Kennt ihr ein solches Tool?
- Habt ihr ein solches Tools im einsatz?
- Wie sind eure Erfahrung mit solchen Tools?
Was ich nicht möchte:
- Aus den HR-Mitarbeitern Hilfsadmins machen. Sie sollen lediglich für die Pflege von informativen Feldern verantwortlich sein (Firmenname, Abteilung, Stellenbezeichnung, Adresse, Telefonnummern, etc.)
- Den HR-Mitarbeitern klassische AD Tools wie ADSIEdit oder AD Benutzer und Computer überlassen.
Vielen Dank schon mal vorab.
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 556063
Url: https://administrator.de/contentid/556063
Printed on: April 23, 2024 at 09:04 o'clock
8 Comments
Latest comment
Ich habe ein Tool für Benutzer in VBS.Net zusammengeklöppelt (gibt da schon vorlagen) Weil den Benutzern AD Benutzer und Computer zu installieren öffnet wieder Tür und Tor. Außendem sind viele Benutzer damit schnell überfordert insbesondere wenn Sie es nicht oft Benutzen.
Die nötigen Rechte sind dann natürlich delegiert.
PS: Mein Tool würde ich dir geben hilft aber bestimmt nicht weiter weil dort ein anderes Ziel verfolgt wird.
Die nötigen Rechte sind dann natürlich delegiert.
PS: Mein Tool würde ich dir geben hilft aber bestimmt nicht weiter weil dort ein anderes Ziel verfolgt wird.
Hab da einen Geheimtipp aber nicht weitersagen: AD Benutzer und Computer
Für solche fälle bietet MS "JEA" - damit kannst du ein Programm schreiben das z.B. nur editieren bestimmter attribute erlaubt.
Aber JEA ist nur das Framework, das PowerShell Programm musst du schon selber schreiben - und das ist nicht so ohne, da du sauber schreiben musst ohne das es exploitbar ist.
Aber JEA ist nur das Framework, das PowerShell Programm musst du schon selber schreiben - und das ist nicht so ohne, da du sauber schreiben musst ohne das es exploitbar ist.
Hi.
Ein Tool führt nur durch, es ermöglicht nichts. Die Berechtigungen dazu vergibt man im AD selbst über Delegation of control wizard, Rechtsklick auf die OU - Eigenschaften - Sicherheit, oder LDP.exe.
Was gefällt Dir an "AD Benutzer und Computer" nicht? Dann wäre https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer auch nichts für Deine Leute?
Ein Tool führt nur durch, es ermöglicht nichts. Die Berechtigungen dazu vergibt man im AD selbst über Delegation of control wizard, Rechtsklick auf die OU - Eigenschaften - Sicherheit, oder LDP.exe.
Was gefällt Dir an "AD Benutzer und Computer" nicht? Dann wäre https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer auch nichts für Deine Leute?
Hi,
bei AD Benutzer und Computer sehen die HR-Leute zu viele Daten, die sie einerseits nichts angehen und die sie andererseits nicht verstehen.
Dazu kommt, dass die HR-Leute immer nur ihre eigenen Mitarbeiter sehen sollen (wir haben weltweit 6 Standorte und damit 6 HR-Abteilungen).
Da ist die Gefahr, dass wir firmenintern gegen Datenschutzregeln verstoßen, zu groß.
Oder um im Bild zubleiben: An "AD Benutzer und Computer" gefällt mir "und Computer" nicht, sowie die Ansichten auf Benutzer- und Computergruppen und die Möglichkeiten, diese zu verwalten.
Mir würde ein Tool reichen, das die Registerkarten "Allgemein", "Adresse", "Rufnummern" und "Organisation" bei den Benutzerprofilen abdeckt. Der Rest ist "Admin-Zeug" und hat in HR nichts zu suchen. Auch die Neuanlage von Benutzerprofilen ist nicht unbedingt HR-Aufgabe.
bei AD Benutzer und Computer sehen die HR-Leute zu viele Daten, die sie einerseits nichts angehen und die sie andererseits nicht verstehen.
Dazu kommt, dass die HR-Leute immer nur ihre eigenen Mitarbeiter sehen sollen (wir haben weltweit 6 Standorte und damit 6 HR-Abteilungen).
Da ist die Gefahr, dass wir firmenintern gegen Datenschutzregeln verstoßen, zu groß.
Oder um im Bild zubleiben: An "AD Benutzer und Computer" gefällt mir "und Computer" nicht, sowie die Ansichten auf Benutzer- und Computergruppen und die Möglichkeiten, diese zu verwalten.
Mir würde ein Tool reichen, das die Registerkarten "Allgemein", "Adresse", "Rufnummern" und "Organisation" bei den Benutzerprofilen abdeckt. Der Rest ist "Admin-Zeug" und hat in HR nichts zu suchen. Auch die Neuanlage von Benutzerprofilen ist nicht unbedingt HR-Aufgabe.
Dir ist aber schon klar dass jeder AD User diese Informationen auslesen kann oder? Also villeicht nicht jedes einzelne Attribut aber welche User und Computer existieren.
Ja, aber das wissen die wenigsten normalen Benutzer. 
Da steht das alles beschrieben was du brauchst um das wie gewünscht umzusetzen
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
