7
Einem User AD oder AAD Felder Zugriff gewähren
Hallo Mitstreiter in der Welt von Microsoft 
Ich habe folgendes Problem und muss scheinbar um die Ecke denken um hier zu einer Lösung zu kommen.
Ich hoffe allerdings dass irgendwer eine bessere Idee hat
Ein User bzw. User einer bestimmten Gruppe, sollen Zugriff auf das Tool Active Directory-Benutzer und -Computer bekommen um dort die User im Bereich der allgemeinen Informationen die Pflege zu übernehmen (damit wir Admins von solchen Verwaltungsaufgaben mal entlastet werden)
Es geht eben nur um die Reiter "Allgemein" + "Adresse" + "Rufnummer" und "Organisation" - siehe Bild
Ich habe mir also eine Gruppe gebaut und dieser in der OU in der die User sind zur Verfügung gestellt und dort dann die Rechte der Gruppe über erweitert bearbeitet.
Nun stoße ich aber aufgrund der Menge und Möglichkeiten der Einschränkungen an meine Grenzen und an die Grenzen der Übersichtlichkeit. Ich habe hier für Euch alles mal minimiert anzeigen lassen, aber wenn ich alles einstelle was nicht soll und was soll, wird dass alles einzeln und OHNE Beschreibung eingetragen, so dass man nicht sehen kann wofür die erlaubt oder verweigert Regel ist. Und wir sprechen hier von nen paar Hundert Eintragsmöglichkeiten
Siehe die folgenden beiden Bilder:
Daher nun meine Frage, kennt jemand eine Liste in der Tabellenartig beschrieben ist, wie jedes Feld dass ich wie oben genannt zu Bearbeitung freigeben möchte heißt? Denn zur Zeit ist vieles nur mit testen möglich. Regel rein, anderes gerät, neu anmelden schauen was sich verändert hat.
Oder gibt es eine gaaaaanz andere Möglichkeit, wie z.B. über eine Hybrid AD - AAD Funktion und die Freigabe im WEB (AAD) für die Felder besser möglich ist?
Bin für jeden Tipp oder Ratschlag echt dankbar. Selbst wenn ich dass oben genannte "Von hinten durch die Brust ins Auge" - Regel einrichte, nach spätestens drei Wochen weiß doch kein anderer mehr was ich da verwurschtelt habe....
LG Andy
Ich habe folgendes Problem und muss scheinbar um die Ecke denken um hier zu einer Lösung zu kommen.
Ich hoffe allerdings dass irgendwer eine bessere Idee hat
Ein User bzw. User einer bestimmten Gruppe, sollen Zugriff auf das Tool Active Directory-Benutzer und -Computer bekommen um dort die User im Bereich der allgemeinen Informationen die Pflege zu übernehmen (damit wir Admins von solchen Verwaltungsaufgaben mal entlastet werden)
Es geht eben nur um die Reiter "Allgemein" + "Adresse" + "Rufnummer" und "Organisation" - siehe Bild
Ich habe mir also eine Gruppe gebaut und dieser in der OU in der die User sind zur Verfügung gestellt und dort dann die Rechte der Gruppe über erweitert bearbeitet.
Nun stoße ich aber aufgrund der Menge und Möglichkeiten der Einschränkungen an meine Grenzen und an die Grenzen der Übersichtlichkeit. Ich habe hier für Euch alles mal minimiert anzeigen lassen, aber wenn ich alles einstelle was nicht soll und was soll, wird dass alles einzeln und OHNE Beschreibung eingetragen, so dass man nicht sehen kann wofür die erlaubt oder verweigert Regel ist. Und wir sprechen hier von nen paar Hundert Eintragsmöglichkeiten
Siehe die folgenden beiden Bilder:
Daher nun meine Frage, kennt jemand eine Liste in der Tabellenartig beschrieben ist, wie jedes Feld dass ich wie oben genannt zu Bearbeitung freigeben möchte heißt? Denn zur Zeit ist vieles nur mit testen möglich. Regel rein, anderes gerät, neu anmelden schauen was sich verändert hat.
Oder gibt es eine gaaaaanz andere Möglichkeit, wie z.B. über eine Hybrid AD - AAD Funktion und die Freigabe im WEB (AAD) für die Felder besser möglich ist?
Bin für jeden Tipp oder Ratschlag echt dankbar. Selbst wenn ich dass oben genannte "Von hinten durch die Brust ins Auge" - Regel einrichte, nach spätestens drei Wochen weiß doch kein anderer mehr was ich da verwurschtelt habe....
LG Andy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5966090291
Url: https://administrator.de/contentid/5966090291
Printed on: May 6, 2024 at 07:05 o'clock
7 Comments
Latest comment
Eine Liste ist mir jetzt so nicht bekannt, zumindest keine Fertige.
Im Technet gibts aber eine Doku zum AD und den Objekten / Containern etc.
Eventuell wäre für dein Vorhaben eine Deligierung von Rechten besser als das setzen von Berechtigungen.
Delegieren ist eigentlich der Weg der da gegangen werden sollte.
Ich hab mir die Namen welche wir mal gebraucht hatten über den Identity Manager von MS und dem AD Technet rausgesucht.
Und Kleiner Tipp. Immer mit Testusern arbeiten.
Was du aber machen könntest ist in den Erweiterten Attributen schauen die sind ja bereits mit dem Inhalt des GUI Formulars ausgefüllt
Im Technet gibts aber eine Doku zum AD und den Objekten / Containern etc.
Eventuell wäre für dein Vorhaben eine Deligierung von Rechten besser als das setzen von Berechtigungen.
Delegieren ist eigentlich der Weg der da gegangen werden sollte.
Ich hab mir die Namen welche wir mal gebraucht hatten über den Identity Manager von MS und dem AD Technet rausgesucht.
Und Kleiner Tipp. Immer mit Testusern arbeiten.
Was du aber machen könntest ist in den Erweiterten Attributen schauen die sind ja bereits mit dem Inhalt des GUI Formulars ausgefüllt
Moin,
du könntest mit Powershell einen Benutzer abfragen:
Oder wenn es grafisch sein soll, mit einem LDAP-Browser abfragen (z. B. Softerra LDAPbrowser).
Gruß
TA
du könntest mit Powershell einen Benutzer abfragen:
Get-ADUser -Identity <Benutzer> -Properties * Oder wenn es grafisch sein soll, mit einem LDAP-Browser abfragen (z. B. Softerra LDAPbrowser).
Gruß
TA
Servus,
http://www.selfadsi.org/user-attributes-w2k12.htm
http://www.selfadsi.org/user-attributes.htm
Und immer schön dokumentieren.
Achtung, über die GUI ist das je nach Sprache der GUI meist ein Mischmasch von Deutsch/Englisch. Also besser gleich per Shell/CMD die Berechtigungen anpassen dann erübrigt sich das manuelle Geklicke.
Grüße Uwe
Mit Bildchen:
http://www.selfadsi.org/user-attributes-w2k12.htmhttp://www.selfadsi.org/user-attributes.htm
Plain-Text-Liste mit Powershell
[System.DirectoryServices.ActiveDirectory.ActiveDirectorySchema]::GetCurrentSchema().FindClass('user') | %{$_.MandatoryProperties.Name + $_.OptionalProperties.Name} Mehr zu Delegierung von Berechtigungen
- Die Delegation von Berechtigungen
- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
- AD-Adressen im Sekretariat bearbeiten lassen
Und immer schön dokumentieren
.Achtung, über die GUI ist das je nach Sprache der GUI meist ein Mischmasch von Deutsch/Englisch. Also besser gleich per Shell/CMD die Berechtigungen anpassen dann erübrigt sich das manuelle Geklicke.
Grüße Uwe
1
Moin @ all,
erst einmal vielen Dank für die Beiträge. Ich werde mir das von Uwe beschriebene Szenario jetzt genauer anschauen und melde mich dann kurzfristig mit Erfolg oder Niederlage zurück
Beste Grüße
Andy
erst einmal vielen Dank für die Beiträge. Ich werde mir das von Uwe beschriebene Szenario jetzt genauer anschauen und melde mich dann kurzfristig mit Erfolg oder Niederlage zurück
Beste Grüße
Andy
Moin Twisted Air,
vielen Dank für Deine Antwort, es ging allerdings nicht um eine Abfrage, sondern um eine Berechtigungsfrage, also auch eine Änderung von bestimmten Daten.
Aber danke für Deinen Beitrag.
vielen Dank für Deine Antwort, es ging allerdings nicht um eine Abfrage, sondern um eine Berechtigungsfrage, also auch eine Änderung von bestimmten Daten.
Aber danke für Deinen Beitrag.
guggst Du bei der Antwort von Uwe
Jetzt gibt es eine für mich Aber danke auch für Deinen Beitrag und ja, Du und Uwe habt recht, besser ist Delegieren.
Werde mich mal an das Thema jetzt ranschmeißen
Beste Grüße
Andy
@Dr.Mabuse:
Hallo.
Den Wunsch, die IT-Administration von ein paar AD-Aufgaben zu befreien, die nur als organisatorisch/Verwaltung anzusehen sind, gibt's öfter (Passworte zurücksetzen, zum Beispiel).
Das macht man mit einer angepaßten Taskpadansicht. Gab's schon vor über 20 Jahren bei Windows Server 2000.
Hier gibt's im Knowledge-Bereich von administrator.de eine Anleitung dazu:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Viele Grüße
von
departure69
Hallo.
Den Wunsch, die IT-Administration von ein paar AD-Aufgaben zu befreien, die nur als organisatorisch/Verwaltung anzusehen sind, gibt's öfter (Passworte zurücksetzen, zum Beispiel).
Das macht man mit einer angepaßten Taskpadansicht. Gab's schon vor über 20 Jahren bei Windows Server 2000.
Hier gibt's im Knowledge-Bereich von administrator.de eine Anleitung dazu:
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Viele Grüße
von
departure69
