5
Frage zur Konfiguration der Microsoft Management Console
Hallo zusammen,
ich möchte auf den Computern unserer Subadmins eine MMC installieren. Der einzelne SubAdmin soll aber nur einen begrenzten Einblick (nur einzelne Sub-OUs) auf die AD-Struktur bekommen. Wie ich das konfigurieren muss weiß ich. Allerdings sollen die Subadmins 2-3 verschiedene Teile des ADs sehen (Ein Teil steht unter User, ein anderer unter Computer) .
Gibt es eine Möglichkeit die einzelnen Teile in einer Übersicht zu packen? (Bisher habe ich für jeden Bereich 2-3 Icons auf den Desktop abgelegt.)
Hoffe es gibt hier eine schönere Lösung.
Vielen Dank
Swen
ich möchte auf den Computern unserer Subadmins eine MMC installieren. Der einzelne SubAdmin soll aber nur einen begrenzten Einblick (nur einzelne Sub-OUs) auf die AD-Struktur bekommen. Wie ich das konfigurieren muss weiß ich. Allerdings sollen die Subadmins 2-3 verschiedene Teile des ADs sehen (Ein Teil steht unter User, ein anderer unter Computer) .
Gibt es eine Möglichkeit die einzelnen Teile in einer Übersicht zu packen? (Bisher habe ich für jeden Bereich 2-3 Icons auf den Desktop abgelegt.)
Hoffe es gibt hier eine schönere Lösung.
Vielen Dank
Swen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5455688520
Url: https://administrator.de/contentid/5455688520
Printed on: June 26, 2024 at 13:06 o'clock
5 Comments
Latest comment
Die KI des Forums liefert dir dazu bspw.
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Gruß wurstel
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Gruß wurstel
Bedenke aber das wenn du das so gemacht hast wie oben beschreiben können die
Benutzer aber immer noch eine MMC öffnen und sich das AD über das Plug In Active Directory
Benutzer und Computer anzeigen lassen.
AD lesen darf jeder Benutzer welcher in der Gruppe Domain-Users ist. Damit kann jeder User der
Domäne die komplette Domäne auslesen. Eine Anpassung ala: Der Benutzer darf nur die OU:Users
sehen wird so einfach nicht umzusetzen sein.
Man könnte jetzt was mit Berechtigungen bezüglich der MMC und den Plugin machen aber wenn
sich jemand dann das passende Tool von den Sysinternals runterläd dann sieht er auch wieder alles.
Bedenke auch eine Suche kann genutzt werden um einige Sachen anzuzeigen. LDAP Abfragen nicht zu vergessen.
Benutzer aber immer noch eine MMC öffnen und sich das AD über das Plug In Active Directory
Benutzer und Computer anzeigen lassen.
AD lesen darf jeder Benutzer welcher in der Gruppe Domain-Users ist. Damit kann jeder User der
Domäne die komplette Domäne auslesen. Eine Anpassung ala: Der Benutzer darf nur die OU:Users
sehen wird so einfach nicht umzusetzen sein.
Man könnte jetzt was mit Berechtigungen bezüglich der MMC und den Plugin machen aber wenn
sich jemand dann das passende Tool von den Sysinternals runterläd dann sieht er auch wieder alles.
Bedenke auch eine Suche kann genutzt werden um einige Sachen anzuzeigen. LDAP Abfragen nicht zu vergessen.
Vielen Dank schon mal für die Hinweise.
Die Berechtigung, dass der Subadmin nur in bestimmten OUs ändern darf habe ich bereits über die Objektverwaltung konfiguriert und es klappt. Mir geht es nur noch um die Optik. Theoretisch kann sich der Subadmin das komplette AD anzeigen lassen. Ich möchte es ihm nur einfacher und übersichtlicher machen, dass er lediglich seine Bereiche sehen kann, an denen er auch etwas ändern kann/darf.
Die Berechtigung, dass der Subadmin nur in bestimmten OUs ändern darf habe ich bereits über die Objektverwaltung konfiguriert und es klappt. Mir geht es nur noch um die Optik. Theoretisch kann sich der Subadmin das komplette AD anzeigen lassen. Ich möchte es ihm nur einfacher und übersichtlicher machen, dass er lediglich seine Bereiche sehen kann, an denen er auch etwas ändern kann/darf.
Zitat von @volswe:
Ich möchte es ihm nur einfacher und übersichtlicher machen, dass er lediglich seine Bereiche sehen kann, an denen er auch etwas ändern kann/darf.
Genau das kannst du ja im oben gezeigten Link mit dem anpassbaren LDAP-Filter erreichen (Punkt 3 in der Anleitung), und mit Rooten der Fenster.Ich möchte es ihm nur einfacher und übersichtlicher machen, dass er lediglich seine Bereiche sehen kann, an denen er auch etwas ändern kann/darf.
Mit den Filtern gem. der Anleitung funktioniert das wunderbar. Hab es selber
heute getestet weil ich soetwas für unsere HR gesucht habe damit die Telefonnummern
und Handynummern eintragen können bzw. darüber das Orga Chart anpassen können ( Vorgesetzter und so definieren
Ich habe das auch für uns Admin gebaut damit wir nicht immer die große AD brauchen wenn wir ein Kennwort zurücksetzen müssen. Bzw. für unsere Externen Dienstleister gibts sowas ähnliches wobei wir hier auch die Berechtigungen / Sicherheitseinstellungen der OU´s angepasst haben. Die dürfen nicht alles sehen. Die Fehler die dabei auftreten sind uns egal. Die sollen nur ihre Gruppen für Ihre Software verwalten und mehr nicht
Da mit dem Einsehen aller Daten im AD diente nur als Hinweis weil hier und da will jemand das der Subadmin z.b. nur User in der OU x sieht. Kann man per Filter machen bzw. so wie oben beschreiben. Aber generell besteht trotzdem lesend Zugriff aufs AD
heute getestet weil ich soetwas für unsere HR gesucht habe damit die Telefonnummern
und Handynummern eintragen können bzw. darüber das Orga Chart anpassen können ( Vorgesetzter und so definieren
Ich habe das auch für uns Admin gebaut damit wir nicht immer die große AD brauchen wenn wir ein Kennwort zurücksetzen müssen. Bzw. für unsere Externen Dienstleister gibts sowas ähnliches wobei wir hier auch die Berechtigungen / Sicherheitseinstellungen der OU´s angepasst haben. Die dürfen nicht alles sehen. Die Fehler die dabei auftreten sind uns egal. Die sollen nur ihre Gruppen für Ihre Software verwalten und mehr nicht
Da mit dem Einsehen aller Daten im AD diente nur als Hinweis weil hier und da will jemand das der Subadmin z.b. nur User in der OU x sieht. Kann man per Filter machen bzw. so wie oben beschreiben. Aber generell besteht trotzdem lesend Zugriff aufs AD
