33
Zugriff auf AD für Nicht-Domänenadmins einrichten
Hallo zusammen,
stehe mal wieder vor einem Problem ;)
Wir haben in der IT für die nächsten paar Tage eine Aushilfe bekommen. Sie soll das AD überarbeiten bzw. einheitlich machen. Ist vom Chef so gewünscht. Bitte keine gut gemeinten Ratschläge, ihr das Recht nicht zu geben, es ist wie gesagt vom Chef so gewünscht.
Ihre Aufgaben besteht nur darin, die User zu bearbeiten (Email- Adresse, Homepage, Name usw... bearbeiten), mehr soll sie nicht können.
Ich habe ihr jetzt schon mal den Zugriff per RDP auf den DC eingerichtet, d.h. sie kommt auf den Server. (gpedit.msc --> Lokal anmelden zulassen --> Benutzer eingetragen)
Öffne ich das AD, wird erstmal nach Kennwort und Passwort gefragt, obwohl ich sie unter Sicherheits des AD`s hinterlegt hab. Ab da komm ich nicht mehr weiter.
Sie soll nur Schreibrechte auf 3 OU´s bekommen. Dort sind unsere User aufgelistet, die sie bearbeiten soll. Auf alles andere soll sie nicht zugreifen können.
Wie richte ich sowas am besten ein bzw. gibt es hierfür eine Anleitung? Ist ein Windows Server 2008 SP2, der nur als DC agiert..
Bin um jeden Tipp dankbar.
Gruß
lordofremixes
stehe mal wieder vor einem Problem ;)
Wir haben in der IT für die nächsten paar Tage eine Aushilfe bekommen. Sie soll das AD überarbeiten bzw. einheitlich machen. Ist vom Chef so gewünscht. Bitte keine gut gemeinten Ratschläge, ihr das Recht nicht zu geben, es ist wie gesagt vom Chef so gewünscht.
Ihre Aufgaben besteht nur darin, die User zu bearbeiten (Email- Adresse, Homepage, Name usw... bearbeiten), mehr soll sie nicht können.
Ich habe ihr jetzt schon mal den Zugriff per RDP auf den DC eingerichtet, d.h. sie kommt auf den Server. (gpedit.msc --> Lokal anmelden zulassen --> Benutzer eingetragen)
Öffne ich das AD, wird erstmal nach Kennwort und Passwort gefragt, obwohl ich sie unter Sicherheits des AD`s hinterlegt hab. Ab da komm ich nicht mehr weiter.
Sie soll nur Schreibrechte auf 3 OU´s bekommen. Dort sind unsere User aufgelistet, die sie bearbeiten soll. Auf alles andere soll sie nicht zugreifen können.
Wie richte ich sowas am besten ein bzw. gibt es hierfür eine Anleitung? Ist ein Windows Server 2008 SP2, der nur als DC agiert..
Bin um jeden Tipp dankbar.
Gruß
lordofremixes
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252013
Url: https://administrator.de/contentid/252013
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
33 Kommentare
Neuester Kommentar
Hi,
wieso richtest du dafür einen lokalen Account auf dem Server ein...? Oh wei, oh wei.
Stell der Aushilfe einen Client zur Verfügung und installer darauf die RSAT-Tools. Zur Anmeldung gibt es einen Account in der Domäne, nur mit den Standard-Recht "Domänen-Benutzer". Diesen User Account fügst du bei den OUs im Reiter "Verwaltet von" ein. Damit müsste Sie alle Objekte in und unterhalb der OU bearbeiten können. Habe ich jetzt aber so noch nie einrichten müssen, und habe es nicht getestet.
Gruß
Xearo
wieso richtest du dafür einen lokalen Account auf dem Server ein...? Oh wei, oh wei.
Stell der Aushilfe einen Client zur Verfügung und installer darauf die RSAT-Tools. Zur Anmeldung gibt es einen Account in der Domäne, nur mit den Standard-Recht "Domänen-Benutzer". Diesen User Account fügst du bei den OUs im Reiter "Verwaltet von" ein. Damit müsste Sie alle Objekte in und unterhalb der OU bearbeiten können. Habe ich jetzt aber so noch nie einrichten müssen, und habe es nicht getestet.
Gruß
Xearo
Moin lordo,
dazu habe ich hier im Forum bereits diverse Informationen und Tutorials gepostet
:
Grundlegendes: Die Delegation von Berechtigungen
Grüße Uwe
dazu habe ich hier im Forum bereits diverse Informationen und Tutorials gepostet
:
Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Video zum freigeben von Attributen
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Grüße Uwe
Hallo zusammen,
ist mein Vorhaben eventuell auch über 'Objektverwaltung zuweisen ' direkt auf dem AD möglich?
gruß
ist mein Vorhaben eventuell auch über 'Objektverwaltung zuweisen ' direkt auf dem AD möglich?
gruß
Hi,
ja, damit kannst du auch dem Konto die benötigten Berechtigungen geben.
Gruß
Xearo
ja, damit kannst du auch dem Konto die benötigten Berechtigungen geben.
Gruß
Xearo
Zitat von @colinardo:
Moin lordo,
dazu habe ich hier bereits diverse Informationen und Tutorials verbreitet:
Grundlegendes: [http://www.tecchannel.de/server/windows/460445/sicherheitsmanagement_im_active_directory/index4.html Die
Delegation von Berechtigungen]
Grüße Uwe
Moin lordo,
dazu habe ich hier bereits diverse Informationen und Tutorials verbreitet:
Delegation von Berechtigungen
Grundlegendes: [http://www.tecchannel.de/server/windows/460445/sicherheitsmanagement_im_active_directory/index4.html DieDelegation von Berechtigungen]
- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Video zum freigeben von Attributen
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Grüße Uwe
Hallo Uwe!
da lag ich ja mit 'Objektverwaltung zuweisen ' garnicht so falsch. Lese mir die Artikel gerade durch.
Habe jetzt eine neue Gruppe erstellt, die Aushilfe da reingetan, aber wenn ich bei 'Objektverwaltung zuweisen' ihr entsprechende Rechte zuweise und ich
dann als sie angemeldet 'Active Directory Benutzer und Computer' öffnen möchte, poppt die Benutzerkontensteuerung auf, und verlangt nach Passwort!?
Wie bekomme ich das denn hin, dass sie dann ins AD rein kommt?
Gruß
lordofremixes
Die UAC poppt zwar auf, du kannst aber auch Ihre Benutzerdaten eingeben.
ließ erst mal alles richtig durch ... steht dort alles, auch wie man eine benutzerdefinierte MMC erstellt, dann braucht die Dame gar nicht erst auf dem DC (Kopschüttel x-) ) arbeiten sondern eine stink normale Workstation die mit der Domain verbunden ist, tut es dann auch.
Zitat von @colinardo:
ließ erst mal alles richtig durch ... steht dort alles, auch wie man eine benutzerdefinierte MMC erstellt, dann braucht die
Dame gar nicht erst auf dem DC (Kopschüttel x-) ) arbeiten sondern eine stink normale Workstation die mit der Domain
verbunden ist, tut es dann auch.
ließ erst mal alles richtig durch ... steht dort alles, auch wie man eine benutzerdefinierte MMC erstellt, dann braucht die
Dame gar nicht erst auf dem DC (Kopschüttel x-) ) arbeiten sondern eine stink normale Workstation die mit der Domain
verbunden ist, tut es dann auch.
Hallo Uwe!
Habe jetzt alles durchgelesen. Ich habe nun rsat auf dem PC der Aushilfe installiert und das Active Directory auf ihren Desktop gelegt.
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
Gruß
lordofremixes
Zitat von @lordofremixes:
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
hier reicht einJetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
objectClass=userZitat von @colinardo:
da du die OU-Container ja bereits extra in der Baumstruktur explizit rootest, auf andere hat sie ja durch die Delegation sowieso
keinen Zugriff...
Zitat von @lordofremixes:
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die
UserJetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
hier reicht ein> objectClass=user
> keinen Zugriff...
Hallo Uwe!
Ich habe jetzt im AD in der mmc.exe unter Datei, Snap-In hinzufügen die Active Directory Benutzer ausgewählt. Danach wollte ich ja wie bei
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
beschrieben, den Filter erstellen. Dazu habe ich dann unter Filteroptionen, Benutzerdefinierte Suche den Code objectClass=user eingegeben. Dann wird aber nichts gefiltert. Ich sehe immer noch alles, kann sogar Computer löschen. Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?
Gruß
lordofremixes
dann rufst du die MMC nicht mit dem Useraccount der Dame auf oder die Usergruppe der du sie zugewiesen hast hat bereits mehr Rechte im AD, wenn du die Rechte richtig vergeben hast hat der User nur die Rechte auf den entsprechenden OUs.
zum Filter: hast du ihn überhaupt aktiviert ? Bei diesem einfachen Filter kannst du auch die Optionen oben im Dialog nutzen, was du an Objekttypen anzeigen möchtest ...
zum Filter: hast du ihn überhaupt aktiviert ? Bei diesem einfachen Filter kannst du auch die Optionen oben im Dialog nutzen, was du an Objekttypen anzeigen möchtest ...
Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?
hast du überhaupt eine Custom MMC im Autoren-Modus erstellt ??Du scheinst was grundlegend falsch zu machen, was das kann ich hier leider nicht sehen
Zitat von @colinardo:
> Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?
hast du überhaupt eine Custom MMC im Autoren-Modus erstellt ??
Du scheinst was grundlegend falsch zu machen, was das kann ich hier leider nicht sehen
> Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?
hast du überhaupt eine Custom MMC im Autoren-Modus erstellt ??
Du scheinst was grundlegend falsch zu machen, was das kann ich hier leider nicht sehen
Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) --> Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Hoffe du hast noch Lust zu helfen..
Gruß
lordofremixes
Zitat von @lordofremixes:
Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) -->
Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
Schau das Video von oben an, das ist eigentlich narrensicher ...Man vergibt dem User die Rechte auf den OU-Container !Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) -->
Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
Erstellen kannst du die wo du willst, du musst sie aber hinterher im Useraccount der Benutzerin öffnen um zu testen wie sie es Live erlebt ...3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Die Anleitung ist eigentlich eindeutig ...
Hallo Uwe!
Da ich es wahrscheinlich nicht hinbekommen werde, und ich ja das AD auf ihrem Desktop habe, eventuell kann ich ja nur
die entsprechenden OU`s , in der sie bearbeiten soll, einblenden, und alles andere ausblenden?
Gruß
lordofremixes
Da ich es wahrscheinlich nicht hinbekommen werde, und ich ja das AD auf ihrem Desktop habe, eventuell kann ich ja nur
die entsprechenden OU`s , in der sie bearbeiten soll, einblenden, und alles andere ausblenden?
Gruß
lordofremixes
Zitat von @colinardo:
> Zitat von @lordofremixes:
> Ok, da mach ich wohl echt was falsch.
> 1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User)
-->
> Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
Schau das Video von oben an, das ist eigentlich narrensicher ...Man vergibt dem User die Rechte auf den OU-Container !
> 2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
Erstellen kannst du die wo du willst, du musst sie aber hinterher im Useraccount der Benutzerin öffnen um zu testen wie sie
es Live erlebt ...
> 3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Die Anleitung ist eigentlich eindeutig ...
> Zitat von @lordofremixes:
> Ok, da mach ich wohl echt was falsch.
> 1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User)
-->
> Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
Schau das Video von oben an, das ist eigentlich narrensicher ...Man vergibt dem User die Rechte auf den OU-Container !
> 2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
Erstellen kannst du die wo du willst, du musst sie aber hinterher im Useraccount der Benutzerin öffnen um zu testen wie sie
es Live erlebt ...
> 3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Die Anleitung ist eigentlich eindeutig ...
Ok, das habe ich jetzt gemacht...Jetzt mach ich das nochmal mit der mmc.
Hallo Uwe!
Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
Gruß
lordofremixes
Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
Gruß
lordofremixes
Zitat von @lordofremixes:
Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD
als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
NEIN DEFINITIV NICHT, dann hast du vermutlich die Dame einer Gruppe zugewiesen dir bereits mehr Rechte im AD besitzt ...das lässt sich ja wie im Video gezeigt in den ACLs überprüfen.Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD
als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
Wenn du es nicht schaffst nehme halt den FAQ-o-Matic Dialog:
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
p.s. Hatte bisher nur positive Rückmeldungen von Usern meiner Anleitung, die haben es alle problemlos hinbekommen ... muss also bei dir liegen. Grundlegende AD-Kenntnisse sollten natürlich vorhanden sein. Die kann ich dir hier leider nicht vermitteln, das würde den Rahmen sprengen.
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
p.s. Hatte bisher nur positive Rückmeldungen von Usern meiner Anleitung, die haben es alle problemlos hinbekommen ... muss also bei dir liegen. Grundlegende AD-Kenntnisse sollten natürlich vorhanden sein. Die kann ich dir hier leider nicht vermitteln, das würde den Rahmen sprengen.
Zitat von @colinardo:
> Zitat von @lordofremixes:
> Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das
AD
> als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
NEIN DEFINITIV NICHT, dann hast du vermutlich die Dame einer Gruppe zugewiesen dir bereits mehr Rechte im AD besitzt ...das
lässt sich ja wie im Video gezeigt in den ACLs überprüfen.
> Zitat von @lordofremixes:
> Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das
AD
> als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
NEIN DEFINITIV NICHT, dann hast du vermutlich die Dame einer Gruppe zugewiesen dir bereits mehr Rechte im AD besitzt ...das
lässt sich ja wie im Video gezeigt in den ACLs überprüfen.
OK. Dann passt es ja doch. Wenn ich auf Computer löschen klicke, kommt zwar die Bestätigungsabfrage, dann kommt aber Zugriff verweigert!
Mache es jetzt erstmal über die Benutzeraccount selbst, nicht über eine Gruppe. Da müssten die Berechtigungen ja dann passen.
Als nächstes gehe ich Schritt für Schritt die Anleitung 'Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory' durch.
Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
Zitat von @lordofremixes:
Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
das ist nicht normal, wie oben bereits geschrieben, nehm im Dialog alternativ die GUI-Optionen um nur Benutzerobjekte anzuzeigen, da die Query so simpel ist lohnt sich eine LDAP-Query hier nicht.Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
Filtern > Nur folgende Objekttypen anzeigen ... > "Benutzer" anhaken
Zitat von @colinardo:
> Zitat von @lordofremixes:
> Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
das ist nicht normal, wie oben bereits geschrieben, nehm im Dialog alternativ die GUI-Optionen um nur Benutzerobjekte anzuzeigen,
da die Query so simpel ist lohnt sich eine LDAP-Query hier nicht.
Zur Info der Filter gilt immer nur für den Inhalt der Container nicht für die Baumansicht!!
> Zitat von @lordofremixes:
> Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
das ist nicht normal, wie oben bereits geschrieben, nehm im Dialog alternativ die GUI-Optionen um nur Benutzerobjekte anzuzeigen,
da die Query so simpel ist lohnt sich eine LDAP-Query hier nicht.
> Filtern > Nur folgende Objekttypen anzeigen ... > "Benutzer" anhaken
> Hallo Uwe!
Jetzt bin ich schon ein ganzes Stück weiter. Sie muss nicht auf den Server, sie kann nichts löschen bzw. ändern was sie nicht darf.
Im Filter ist es eingestellt, dass sie wirklich nur die Benutzer sieht.
Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer oder Server sehen kann, sondern nur die 3 OU`s ?
Gruß
lordofremixes
Zitat von @lordofremixes:
Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer
oder Server sehen kann, sondern nur die 3 OU`s ?
Du hast die Anleitung nicht gelesen ... Punkt 3...Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer
oder Server sehen kann, sondern nur die 3 OU`s ?
Zitat von @colinardo:
> Zitat von @lordofremixes:
> Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner
Computer
> oder Server sehen kann, sondern nur die 3 OU`s ?
Du hast die Anleitung nicht gelesen ... Punkt 3...
> Zitat von @lordofremixes:
> Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner
Computer
> oder Server sehen kann, sondern nur die 3 OU`s ?
Du hast die Anleitung nicht gelesen ... Punkt 3...
Hallo Uwe,
habe Punkt 3 mehrmals wiederholt:
Die LDAP Abfrage muss ich ja nicht mehr eingeben, aber grafisch zusammenklicken, wenn ich z.B. die Email Adresse angezeigt haben möchte, verlangt er eine Bedingung? Wenn ich es mit der LDAP Abfrage mache, dann habe ich einfach nicht den Punkt Neues Fenster hier öffnen-..
och mönsch du bist echt schwer von Begriff..... Rechtsklick auf den OU-Container und dann "Neues Fenster hier öffnen" wählen...
Hallo Uwe!
Siehe Screenshot, es gibt da einfach kein : "Neues Fenster hier öffnen"
Siehe Screenshot, es gibt da einfach kein : "Neues Fenster hier öffnen"
ich seh hier nix ....
welches Server-OS? und arbeitest du wirklich von einer einer leeren neuen MMC aus ?
Windows Server 2008 SP2, kein R2
Drück mal STRG+W während die Auswahl auf der OU steht, ansonsten nur noch letzte Chance > Teamviewer
sonst wird das nix mehr ...
sonst wird das nix mehr ...
Und was spricht dagegen, die Daten zu exportieren und diese nach der Bereinigung wieder zu importieren?
Hat alles einwandfrei funktioniert, er hatte nur ein kleines Verständnisproblem
(via Teamviewer auf die Sprünge geholfen)
(via Teamviewer auf die Sprünge geholfen)
