Vor Ort ITlern eingeschränkten Zugriff auf das AD geben
Hallo Zusammen,
wir möchten den vor Ort ITlern unseres Kunden einen eingeschränkten Zugriff auf das AD geben.
Es soll auf einem Anwendungsserver (nicht auf den Terminal Servern) ein AD / MMC zur Verfügung gestellt werden. Die Nutzer sollen lediglich Kennwörter zurücksetzen / GRP Mitgliedschaften verändern und AD Felder verändern können (Name / Rufnummer usw)
Ich bin bereits bei dem Begriff "angepasste Taskpadansicht". Die Features im Servermanager (die die ich lt. Google benötige) habe ich installiert. Jedoch wird mir der Punkt "Aufgabenblockansicht erstellen" nicht im AD Snap In (als Admin) angezeigt. Außerdem kann ich als User (die die ITler nutzen) nicht das AD in der MMC als Snap in hinzufügen, dies wird nicht angezeigt.
Folgende Fragen habe ich also.
- Wie kann ich einem User das Recht auf das "SNAP-IN" des ADs in der MMC geben. Ohne direkt einen Vollzugriff zu ermöglichen.
- Wie kann ich die "Aufgabenblockansicht" als Administrator installieren / einblenden lassen.
PS: Ich habe anhand dieser Anleitung gearbeitet
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Vielen Dank!
wir möchten den vor Ort ITlern unseres Kunden einen eingeschränkten Zugriff auf das AD geben.
Es soll auf einem Anwendungsserver (nicht auf den Terminal Servern) ein AD / MMC zur Verfügung gestellt werden. Die Nutzer sollen lediglich Kennwörter zurücksetzen / GRP Mitgliedschaften verändern und AD Felder verändern können (Name / Rufnummer usw)
Ich bin bereits bei dem Begriff "angepasste Taskpadansicht". Die Features im Servermanager (die die ich lt. Google benötige) habe ich installiert. Jedoch wird mir der Punkt "Aufgabenblockansicht erstellen" nicht im AD Snap In (als Admin) angezeigt. Außerdem kann ich als User (die die ITler nutzen) nicht das AD in der MMC als Snap in hinzufügen, dies wird nicht angezeigt.
Folgende Fragen habe ich also.
- Wie kann ich einem User das Recht auf das "SNAP-IN" des ADs in der MMC geben. Ohne direkt einen Vollzugriff zu ermöglichen.
- Wie kann ich die "Aufgabenblockansicht" als Administrator installieren / einblenden lassen.
PS: Ich habe anhand dieser Anleitung gearbeitet
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 534695
Url: https://administrator.de/contentid/534695
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Also wärest du mein Lieferant und würdest mich (als ITler) in den AD-Rechten beschneiden wollen, wärest du nicht mehr mein Lieferant.
Aber es wird sicherlich einen Grund geben, da ich die Gertigkeiten deiner Kunden-Admins nicht beurteilen kann.
Such mal nach previlegierten Konten/ Gruppen:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
Gruß
em-pie
Also wärest du mein Lieferant und würdest mich (als ITler) in den AD-Rechten beschneiden wollen, wärest du nicht mehr mein Lieferant.
Aber es wird sicherlich einen Grund geben, da ich die Gertigkeiten deiner Kunden-Admins nicht beurteilen kann.
Such mal nach previlegierten Konten/ Gruppen:
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
Gruß
em-pie
Hallo,
den Kunden die Berechtigungen vorenthalten, kann man machen, wenn die Verträge und der Kunde es hergeben.
Was halt IMHO ein Nogo ist, wenn der Dienstleister so gar keine Ahnung hat. Früher hatten Systemhäuser mal den Anspruch, diejenigen zu sein, die der Admin holt, wenn er nicht weiterkommt.
Em-Pie hat dir die richtigen Schlüsselworte genannt, wonach du dich informieren solltest.
Bei deinen geplanten Vorgehen bin ich auf das Gesicht gespannt, wenn der Kunde auf einem anderen Rechner die RSAT-Tools installiert und dann in der MMC das Snapin auch findet und Fragen zum AD-Setup stellt, wo ihr euch noch wundert, warum er das überhaupt sehen kann.
Vielleicht kann dein AG gut entwickeln, aber für das AD sollte ein anderer Dienstleister empfohlen werden!
Viele Grüße Raboom
den Kunden die Berechtigungen vorenthalten, kann man machen, wenn die Verträge und der Kunde es hergeben.
Was halt IMHO ein Nogo ist, wenn der Dienstleister so gar keine Ahnung hat. Früher hatten Systemhäuser mal den Anspruch, diejenigen zu sein, die der Admin holt, wenn er nicht weiterkommt.
Em-Pie hat dir die richtigen Schlüsselworte genannt, wonach du dich informieren solltest.
Bei deinen geplanten Vorgehen bin ich auf das Gesicht gespannt, wenn der Kunde auf einem anderen Rechner die RSAT-Tools installiert und dann in der MMC das Snapin auch findet und Fragen zum AD-Setup stellt, wo ihr euch noch wundert, warum er das überhaupt sehen kann.
Vielleicht kann dein AG gut entwickeln, aber für das AD sollte ein anderer Dienstleister empfohlen werden!
Viele Grüße Raboom
Moin,
Da würde ich als Kunde auch protestieren. Bei uns läuft das eher anders herum. Die Dienstleister werden auf das eingeschränkt, was sie können müssen. Aber das ist ja wahrscheinlich mit dem Kunden abgesprochen.
Hast Du denn schon "Objektverwaltung zuweisen" ausgeführt? Bevor Du nicht Delegationen erstellt hast, wird der Punkt nicht angezeigt. Wäre ja auch unsinnig.
Sind denn die RSAT auf dem Rechner installiert und aktiviert?
Gar nicht. Das hat er so oder so. Was er damit machen kann, hängt von seinen Rechner ab. Den Zugriff regelst Du über "Sicherheit" in den Eigenschaften des Objekts. Nicht vergessen: "Erweiterte Features" müssen aktiviert sein. Sonst sieht man den Reiter nicht.
Wie gesagt, indem Du beim Objekt "Objektverwaltung zuweisen" ausführst.
Liebe Grüße
Erik
Zitat von @xoxoonex:
wir möchten den vor Ort ITlern unseres Kunden einen eingeschränkten Zugriff auf das AD geben.
Es soll auf einem Anwendungsserver (nicht auf den Terminal Servern) ein AD / MMC zur Verfügung gestellt werden. Die Nutzer sollen lediglich Kennwörter zurücksetzen / GRP Mitgliedschaften verändern und AD Felder verändern können (Name / Rufnummer usw)
wir möchten den vor Ort ITlern unseres Kunden einen eingeschränkten Zugriff auf das AD geben.
Es soll auf einem Anwendungsserver (nicht auf den Terminal Servern) ein AD / MMC zur Verfügung gestellt werden. Die Nutzer sollen lediglich Kennwörter zurücksetzen / GRP Mitgliedschaften verändern und AD Felder verändern können (Name / Rufnummer usw)
Da würde ich als Kunde auch protestieren. Bei uns läuft das eher anders herum. Die Dienstleister werden auf das eingeschränkt, was sie können müssen. Aber das ist ja wahrscheinlich mit dem Kunden abgesprochen.
Ich bin bereits bei dem Begriff "angepasste Taskpadansicht". Die Features im Servermanager (die die ich lt. Google benötige) habe ich installiert. Jedoch wird mir der Punkt "Aufgabenblockansicht erstellen" nicht im AD Snap In (als Admin) angezeigt.
Hast Du denn schon "Objektverwaltung zuweisen" ausgeführt? Bevor Du nicht Delegationen erstellt hast, wird der Punkt nicht angezeigt. Wäre ja auch unsinnig.
Außerdem kann ich als User (die die ITler nutzen) nicht das AD in der MMC als Snap in hinzufügen, dies wird nicht angezeigt.
Sind denn die RSAT auf dem Rechner installiert und aktiviert?
Folgende Fragen habe ich also.
- Wie kann ich einem User das Recht auf das "SNAP-IN" des ADs in der MMC geben. Ohne direkt einen Vollzugriff zu ermöglichen.
- Wie kann ich einem User das Recht auf das "SNAP-IN" des ADs in der MMC geben. Ohne direkt einen Vollzugriff zu ermöglichen.
Gar nicht. Das hat er so oder so. Was er damit machen kann, hängt von seinen Rechner ab. Den Zugriff regelst Du über "Sicherheit" in den Eigenschaften des Objekts. Nicht vergessen: "Erweiterte Features" müssen aktiviert sein. Sonst sieht man den Reiter nicht.
- Wie kann ich die "Aufgabenblockansicht" als Administrator installieren / einblenden lassen.
Wie gesagt, indem Du beim Objekt "Objektverwaltung zuweisen" ausführst.
Liebe Grüße
Erik