xoxoonex
Goto Top

Vor Ort ITlern eingeschränkten Zugriff auf das AD geben

Hallo Zusammen,

wir möchten den vor Ort ITlern unseres Kunden einen eingeschränkten Zugriff auf das AD geben.
Es soll auf einem Anwendungsserver (nicht auf den Terminal Servern) ein AD / MMC zur Verfügung gestellt werden. Die Nutzer sollen lediglich Kennwörter zurücksetzen / GRP Mitgliedschaften verändern und AD Felder verändern können (Name / Rufnummer usw)

Ich bin bereits bei dem Begriff "angepasste Taskpadansicht". Die Features im Servermanager (die die ich lt. Google benötige) habe ich installiert. Jedoch wird mir der Punkt "Aufgabenblockansicht erstellen" nicht im AD Snap In (als Admin) angezeigt. Außerdem kann ich als User (die die ITler nutzen) nicht das AD in der MMC als Snap in hinzufügen, dies wird nicht angezeigt.

Folgende Fragen habe ich also.
- Wie kann ich einem User das Recht auf das "SNAP-IN" des ADs in der MMC geben. Ohne direkt einen Vollzugriff zu ermöglichen.
- Wie kann ich die "Aufgabenblockansicht" als Administrator installieren / einblenden lassen.

PS: Ich habe anhand dieser Anleitung gearbeitet

Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory


Vielen Dank!

Content-ID: 534695

Url: https://administrator.de/contentid/534695

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

em-pie
em-pie 13.01.2020 um 23:08:29 Uhr
Goto Top
Moin,

Also wärest du mein Lieferant und würdest mich (als ITler) in den AD-Rechten beschneiden wollen, wärest du nicht mehr mein Lieferant.

Aber es wird sicherlich einen Grund geben, da ich die Gertigkeiten deiner Kunden-Admins nicht beurteilen kann.


Such mal nach previlegierten Konten/ Gruppen:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...

Gruß
em-pie
114380
114380 13.01.2020 um 23:43:46 Uhr
Goto Top
Hallo,

den Kunden die Berechtigungen vorenthalten, kann man machen, wenn die Verträge und der Kunde es hergeben.

Was halt IMHO ein Nogo ist, wenn der Dienstleister so gar keine Ahnung hat. Früher hatten Systemhäuser mal den Anspruch, diejenigen zu sein, die der Admin holt, wenn er nicht weiterkommt.

Em-Pie hat dir die richtigen Schlüsselworte genannt, wonach du dich informieren solltest.

Bei deinen geplanten Vorgehen bin ich auf das Gesicht gespannt, wenn der Kunde auf einem anderen Rechner die RSAT-Tools installiert und dann in der MMC das Snapin auch findet und Fragen zum AD-Setup stellt, wo ihr euch noch wundert, warum er das überhaupt sehen kann.

Vielleicht kann dein AG gut entwickeln, aber für das AD sollte ein anderer Dienstleister empfohlen werden!

Viele Grüße Raboom
erikro
erikro 14.01.2020 aktualisiert um 08:38:19 Uhr
Goto Top
Moin,

Zitat von @xoxoonex:
wir möchten den vor Ort ITlern unseres Kunden einen eingeschränkten Zugriff auf das AD geben.
Es soll auf einem Anwendungsserver (nicht auf den Terminal Servern) ein AD / MMC zur Verfügung gestellt werden. Die Nutzer sollen lediglich Kennwörter zurücksetzen / GRP Mitgliedschaften verändern und AD Felder verändern können (Name / Rufnummer usw)

Da würde ich als Kunde auch protestieren. Bei uns läuft das eher anders herum. Die Dienstleister werden auf das eingeschränkt, was sie können müssen. face-wink Aber das ist ja wahrscheinlich mit dem Kunden abgesprochen.

Ich bin bereits bei dem Begriff "angepasste Taskpadansicht". Die Features im Servermanager (die die ich lt. Google benötige) habe ich installiert. Jedoch wird mir der Punkt "Aufgabenblockansicht erstellen" nicht im AD Snap In (als Admin) angezeigt.

Hast Du denn schon "Objektverwaltung zuweisen" ausgeführt? Bevor Du nicht Delegationen erstellt hast, wird der Punkt nicht angezeigt. Wäre ja auch unsinnig.

Außerdem kann ich als User (die die ITler nutzen) nicht das AD in der MMC als Snap in hinzufügen, dies wird nicht angezeigt.

Sind denn die RSAT auf dem Rechner installiert und aktiviert?

Folgende Fragen habe ich also.
- Wie kann ich einem User das Recht auf das "SNAP-IN" des ADs in der MMC geben. Ohne direkt einen Vollzugriff zu ermöglichen.

Gar nicht. Das hat er so oder so. Was er damit machen kann, hängt von seinen Rechner ab. Den Zugriff regelst Du über "Sicherheit" in den Eigenschaften des Objekts. Nicht vergessen: "Erweiterte Features" müssen aktiviert sein. Sonst sieht man den Reiter nicht.

- Wie kann ich die "Aufgabenblockansicht" als Administrator installieren / einblenden lassen.

Wie gesagt, indem Du beim Objekt "Objektverwaltung zuweisen" ausführst.

Liebe Grüße

Erik