Frage zur Benutzerverwaltungsdelegation im AD
Hallo,
ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:
Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.
Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.
Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.
Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?
So sieht mein AD-Baum aus:
Ich hoffe das war verständlich genug.
Grüße
Daniel
ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:
Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.
Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.
Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.
Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?
So sieht mein AD-Baum aus:
- Abteilung_A (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_A
- Abteilung_B (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_B
- Gruppen (OU)
- SupportUser_A (Group)
- SupportUser_B (Group)
- Supportable (OU) - Schreibrecht auf Eigenschaft "members" von Gruppenobjekte durch SupportUser_A und SupportUser_B
- Gruppe_G (Group)
Ich hoffe das war verständlich genug.
Grüße
Daniel
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 90209
Url: https://administrator.de/forum/frage-zur-benutzerverwaltungsdelegation-im-ad-90209.html
Ausgedruckt am: 06.05.2025 um 02:05 Uhr
