vancouverona
Goto Top

Benutzereditor für Active Directory

Hallo zusammen,

für unsere HR-Abteilung benötige ich einen AD-User Editor, der es den HR_Mitarbeitern (insgesamt 4) ermöglicht, personenbezogene Felder der Mitarbeiter im AD zu ändern.

Ich bin sicherlich nicht der erste, der auf eine solche Idee kommt. Daher die Fragen:

  1. Kennt ihr ein solches Tool?
  2. Habt ihr ein solches Tools im einsatz?
  3. Wie sind eure Erfahrung mit solchen Tools?

Was ich nicht möchte:
  • Aus den HR-Mitarbeitern Hilfsadmins machen. Sie sollen lediglich für die Pflege von informativen Feldern verantwortlich sein (Firmenname, Abteilung, Stellenbezeichnung, Adresse, Telefonnummern, etc.)
  • Den HR-Mitarbeitern klassische AD Tools wie ADSIEdit oder AD Benutzer und Computer überlassen.

Vielen Dank schon mal vorab.
Jörg

Content-ID: 556063

Url: https://administrator.de/forum/benutzereditor-fuer-active-directory-556063.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

UnbekannterNR1
UnbekannterNR1 09.03.2020 um 12:22:06 Uhr
Goto Top
Ich habe ein Tool für Benutzer in VBS.Net zusammengeklöppelt (gibt da schon vorlagen) Weil den Benutzern AD Benutzer und Computer zu installieren öffnet wieder Tür und Tor. Außendem sind viele Benutzer damit schnell überfordert insbesondere wenn Sie es nicht oft Benutzen.
Die nötigen Rechte sind dann natürlich delegiert.

PS: Mein Tool würde ich dir geben hilft aber bestimmt nicht weiter weil dort ein anderes Ziel verfolgt wird.
LeeX01
LeeX01 09.03.2020 um 13:15:50 Uhr
Goto Top
Hab da einen Geheimtipp aber nicht weitersagen: AD Benutzer und Computer
NetzwerkDude
NetzwerkDude 09.03.2020 um 13:47:45 Uhr
Goto Top
Für solche fälle bietet MS "JEA" - damit kannst du ein Programm schreiben das z.B. nur editieren bestimmter attribute erlaubt.
Aber JEA ist nur das Framework, das PowerShell Programm musst du schon selber schreiben - und das ist nicht so ohne, da du sauber schreiben musst ohne das es exploitbar ist.
DerWoWusste
DerWoWusste 09.03.2020 um 14:12:54 Uhr
Goto Top
Hi.

Ein Tool führt nur durch, es ermöglicht nichts. Die Berechtigungen dazu vergibt man im AD selbst über Delegation of control wizard, Rechtsklick auf die OU - Eigenschaften - Sicherheit, oder LDP.exe.

Was gefällt Dir an "AD Benutzer und Computer" nicht? Dann wäre https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer auch nichts für Deine Leute?
Vancouverona
Vancouverona 09.03.2020 um 14:24:27 Uhr
Goto Top
Hi,
bei AD Benutzer und Computer sehen die HR-Leute zu viele Daten, die sie einerseits nichts angehen und die sie andererseits nicht verstehen.
Dazu kommt, dass die HR-Leute immer nur ihre eigenen Mitarbeiter sehen sollen (wir haben weltweit 6 Standorte und damit 6 HR-Abteilungen).
Da ist die Gefahr, dass wir firmenintern gegen Datenschutzregeln verstoßen, zu groß.

Oder um im Bild zubleiben: An "AD Benutzer und Computer" gefällt mir "und Computer" nicht, sowie die Ansichten auf Benutzer- und Computergruppen und die Möglichkeiten, diese zu verwalten.

Mir würde ein Tool reichen, das die Registerkarten "Allgemein", "Adresse", "Rufnummern" und "Organisation" bei den Benutzerprofilen abdeckt. Der Rest ist "Admin-Zeug" und hat in HR nichts zu suchen. Auch die Neuanlage von Benutzerprofilen ist nicht unbedingt HR-Aufgabe.
LeeX01
LeeX01 09.03.2020 aktualisiert um 16:12:12 Uhr
Goto Top
Dir ist aber schon klar dass jeder AD User diese Informationen auslesen kann oder? Also villeicht nicht jedes einzelne Attribut aber welche User und Computer existieren.
Vancouverona
Vancouverona 09.03.2020 um 17:30:58 Uhr
Goto Top
Ja, aber das wissen die wenigsten normalen Benutzer. face-smile
LeeX01
Lösung LeeX01 09.03.2020 um 17:42:19 Uhr
Goto Top
Da steht das alles beschrieben was du brauchst um das wie gewünscht umzusetzen

Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory