5
Passwort Deligierung Active-Directory
Hallo,
ich habe folgendes Problem.
Und zwar möchte ich bestimmten User in verschiedenen OU´s (Abteilungen) gestatten die Kennwörter der Abteilungsmitarbeiter selbst zurückzusetzen jedoch muss auch gewährleistet sein dass diese Mitarbeiter über die MMC egal auf welche Art das Active Directory nicht durchforsten können.
Ich habe nun auch schon veschiedenen Mitarbeiter diese Aufgabe deligiert aber das Durchsuchen über die Benutzer Eigenschaften und Mitglieg von ist noch möglich.
Dies sollte ebenfalls nicht möglich sein.
Am besten wäre es wenn es möglich wäre die rechte Maustaste zu deaktivieren und ich den Rest über Aufgabenblöcke löse.
Hat von euch schon jemand sowas getan?
ich habe folgendes Problem.
Und zwar möchte ich bestimmten User in verschiedenen OU´s (Abteilungen) gestatten die Kennwörter der Abteilungsmitarbeiter selbst zurückzusetzen jedoch muss auch gewährleistet sein dass diese Mitarbeiter über die MMC egal auf welche Art das Active Directory nicht durchforsten können.
Ich habe nun auch schon veschiedenen Mitarbeiter diese Aufgabe deligiert aber das Durchsuchen über die Benutzer Eigenschaften und Mitglieg von ist noch möglich.
Dies sollte ebenfalls nicht möglich sein.
Am besten wäre es wenn es möglich wäre die rechte Maustaste zu deaktivieren und ich den Rest über Aufgabenblöcke löse.
Hat von euch schon jemand sowas getan?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300931
Url: https://administrator.de/contentid/300931
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
warum sollen Sie das AD nicht browsen können? Wenn Sie keine Rechte haben, dann können Sie doch nichts ausrichten?
Das mit der Kennwort-Änderung:
Kontext-Menü der OU --> Objektverwaltung zuweisen --> Benutzer/Gruppe auswählen, die ändern dürfen --> "Setzt Benutzerkennwörter zurück ..."
E.
warum sollen Sie das AD nicht browsen können? Wenn Sie keine Rechte haben, dann können Sie doch nichts ausrichten?
Das mit der Kennwort-Änderung:
Kontext-Menü der OU --> Objektverwaltung zuweisen --> Benutzer/Gruppe auswählen, die ändern dürfen --> "Setzt Benutzerkennwörter zurück ..."
E.
Active Directory nicht durchforsten können
Das kann jeder Domänen-Benutzer, dafür ist keine Deligierung erforderlich. Eventuell lässt sich das Verbieten, aber das ist z. B. Notwendig dass Outlook die E-Mail Adressen abrufen kann...
Generell ist das so.
Wir haben hier im AD mehrere Abteilungen / Firmen welche nicht zusammengehören und somit dem Datenschutz unterliegen.
Hier soll es möglich sein dass die Abteilungen / Firmen ihre Kennwörter der Mitglieder über einen "SuperUser" zurücksetzen können. Das Problem dieser sollte ebenfalls nichts über die andere Abteilungen erfahren sei es Namen oder weiteres.
Wir haben hier im AD mehrere Abteilungen / Firmen welche nicht zusammengehören und somit dem Datenschutz unterliegen.
Hier soll es möglich sein dass die Abteilungen / Firmen ihre Kennwörter der Mitglieder über einen "SuperUser" zurücksetzen können. Das Problem dieser sollte ebenfalls nichts über die andere Abteilungen erfahren sei es Namen oder weiteres.
Tja, wenn das so ist hast du jetzt auch schon ein Problem, denn genau das Durchsuchen ist jetzt auch möglich...
Dafür benötigst du mindestens eine Forest Struktur mit mehreren Domänen bzw. Subdomänen, um das gut realisieren zu können...
Dafür benötigst du mindestens eine Forest Struktur mit mehreren Domänen bzw. Subdomänen, um das gut realisieren zu können...
- OU "Abteilung 1"
- OU "Abteilung 2"
- OU "Abteilung 3"
Globale Gruppe "Benutzer A1"
Globale Gruppe "Benutzer A2"
Globale Gruppe "Benutzer A3"
Domänenlokale Gruppe "Verboten A1"
Domänenlokale Gruppe "Verboten A2"
Domänenlokale Gruppe "Verboten A3"
"Abteilung 1" --> Sicherheit --> Gruppen "Verboten A2" & "Verboten A3" das Recht "Lesen" verweigern.
"Abteilung 2" --> Sicherheit --> Gruppen "Verboten A1" & "Verboten A3" das Recht "Lesen" verweigern.
"Abteilung 3" --> Sicherheit --> Gruppen "Verboten A1" & "Verboten A2" das Recht "Lesen" verweigern.
"Benutzer A1" Mitglied in "Verboten A2" & "Verboten A3"
"Benutzer A2" Mitglied in "Verboten A1" & "Verboten A3"
"Benutzer A3" Mitglied in "Verboten A1" & "Verboten A2"
Alle Benutzer einer Abteilung in die entsprechende Benutzer-Gruppe. Nach Neuanmeldung können sie in den OUs der jeweils anderen Abteilungen nicht mehr lesen.
- OU "Abteilung 2"
- OU "Abteilung 3"
Globale Gruppe "Benutzer A1"
Globale Gruppe "Benutzer A2"
Globale Gruppe "Benutzer A3"
Domänenlokale Gruppe "Verboten A1"
Domänenlokale Gruppe "Verboten A2"
Domänenlokale Gruppe "Verboten A3"
"Abteilung 1" --> Sicherheit --> Gruppen "Verboten A2" & "Verboten A3" das Recht "Lesen" verweigern.
"Abteilung 2" --> Sicherheit --> Gruppen "Verboten A1" & "Verboten A3" das Recht "Lesen" verweigern.
"Abteilung 3" --> Sicherheit --> Gruppen "Verboten A1" & "Verboten A2" das Recht "Lesen" verweigern.
"Benutzer A1" Mitglied in "Verboten A2" & "Verboten A3"
"Benutzer A2" Mitglied in "Verboten A1" & "Verboten A3"
"Benutzer A3" Mitglied in "Verboten A1" & "Verboten A2"
Alle Benutzer einer Abteilung in die entsprechende Benutzer-Gruppe. Nach Neuanmeldung können sie in den OUs der jeweils anderen Abteilungen nicht mehr lesen.
