Zugriff auf AD für Nicht-Domänenadmins einrichten
Hallo zusammen,
stehe mal wieder vor einem Problem ;)
Wir haben in der IT für die nächsten paar Tage eine Aushilfe bekommen. Sie soll das AD überarbeiten bzw. einheitlich machen. Ist vom Chef so gewünscht. Bitte keine gut gemeinten Ratschläge, ihr das Recht nicht zu geben, es ist wie gesagt vom Chef so gewünscht.
Ihre Aufgaben besteht nur darin, die User zu bearbeiten (Email- Adresse, Homepage, Name usw... bearbeiten), mehr soll sie nicht können.
Ich habe ihr jetzt schon mal den Zugriff per RDP auf den DC eingerichtet, d.h. sie kommt auf den Server. (gpedit.msc --> Lokal anmelden zulassen --> Benutzer eingetragen)
Öffne ich das AD, wird erstmal nach Kennwort und Passwort gefragt, obwohl ich sie unter Sicherheits des AD`s hinterlegt hab. Ab da komm ich nicht mehr weiter.
Sie soll nur Schreibrechte auf 3 OU´s bekommen. Dort sind unsere User aufgelistet, die sie bearbeiten soll. Auf alles andere soll sie nicht zugreifen können.
Wie richte ich sowas am besten ein bzw. gibt es hierfür eine Anleitung? Ist ein Windows Server 2008 SP2, der nur als DC agiert..
Bin um jeden Tipp dankbar.
Gruß
lordofremixes
stehe mal wieder vor einem Problem ;)
Wir haben in der IT für die nächsten paar Tage eine Aushilfe bekommen. Sie soll das AD überarbeiten bzw. einheitlich machen. Ist vom Chef so gewünscht. Bitte keine gut gemeinten Ratschläge, ihr das Recht nicht zu geben, es ist wie gesagt vom Chef so gewünscht.
Ihre Aufgaben besteht nur darin, die User zu bearbeiten (Email- Adresse, Homepage, Name usw... bearbeiten), mehr soll sie nicht können.
Ich habe ihr jetzt schon mal den Zugriff per RDP auf den DC eingerichtet, d.h. sie kommt auf den Server. (gpedit.msc --> Lokal anmelden zulassen --> Benutzer eingetragen)
Öffne ich das AD, wird erstmal nach Kennwort und Passwort gefragt, obwohl ich sie unter Sicherheits des AD`s hinterlegt hab. Ab da komm ich nicht mehr weiter.
Sie soll nur Schreibrechte auf 3 OU´s bekommen. Dort sind unsere User aufgelistet, die sie bearbeiten soll. Auf alles andere soll sie nicht zugreifen können.
Wie richte ich sowas am besten ein bzw. gibt es hierfür eine Anleitung? Ist ein Windows Server 2008 SP2, der nur als DC agiert..
Bin um jeden Tipp dankbar.
Gruß
lordofremixes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252013
Url: https://administrator.de/forum/zugriff-auf-ad-fuer-nicht-domaenenadmins-einrichten-252013.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
33 Kommentare
Neuester Kommentar
Hi,
wieso richtest du dafür einen lokalen Account auf dem Server ein...? Oh wei, oh wei.
Stell der Aushilfe einen Client zur Verfügung und installer darauf die RSAT-Tools. Zur Anmeldung gibt es einen Account in der Domäne, nur mit den Standard-Recht "Domänen-Benutzer". Diesen User Account fügst du bei den OUs im Reiter "Verwaltet von" ein. Damit müsste Sie alle Objekte in und unterhalb der OU bearbeiten können. Habe ich jetzt aber so noch nie einrichten müssen, und habe es nicht getestet.
Gruß
Xearo
wieso richtest du dafür einen lokalen Account auf dem Server ein...? Oh wei, oh wei.
Stell der Aushilfe einen Client zur Verfügung und installer darauf die RSAT-Tools. Zur Anmeldung gibt es einen Account in der Domäne, nur mit den Standard-Recht "Domänen-Benutzer". Diesen User Account fügst du bei den OUs im Reiter "Verwaltet von" ein. Damit müsste Sie alle Objekte in und unterhalb der OU bearbeiten können. Habe ich jetzt aber so noch nie einrichten müssen, und habe es nicht getestet.
Gruß
Xearo
Moin lordo,
dazu habe ich hier im Forum bereits diverse Informationen und Tutorials gepostet :
Grüße Uwe
dazu habe ich hier im Forum bereits diverse Informationen und Tutorials gepostet :
Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Video zum freigeben von Attributen
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Grüße Uwe
ließ erst mal alles richtig durch ... steht dort alles, auch wie man eine benutzerdefinierte MMC erstellt, dann braucht die Dame gar nicht erst auf dem DC (Kopschüttel x-) ) arbeiten sondern eine stink normale Workstation die mit der Domain verbunden ist, tut es dann auch.
Zitat von @lordofremixes:
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
hier reicht einJetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
objectClass=user
dann rufst du die MMC nicht mit dem Useraccount der Dame auf oder die Usergruppe der du sie zugewiesen hast hat bereits mehr Rechte im AD, wenn du die Rechte richtig vergeben hast hat der User nur die Rechte auf den entsprechenden OUs.
zum Filter: hast du ihn überhaupt aktiviert ? Bei diesem einfachen Filter kannst du auch die Optionen oben im Dialog nutzen, was du an Objekttypen anzeigen möchtest ...
zum Filter: hast du ihn überhaupt aktiviert ? Bei diesem einfachen Filter kannst du auch die Optionen oben im Dialog nutzen, was du an Objekttypen anzeigen möchtest ...
Zitat von @lordofremixes:
Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) -->
Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
Schau das Video von oben an, das ist eigentlich narrensicher ...Man vergibt dem User die Rechte auf den OU-Container !Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) -->
Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
Erstellen kannst du die wo du willst, du musst sie aber hinterher im Useraccount der Benutzerin öffnen um zu testen wie sie es Live erlebt ...3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Die Anleitung ist eigentlich eindeutig ...Zitat von @lordofremixes:
Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD
als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
NEIN DEFINITIV NICHT, dann hast du vermutlich die Dame einer Gruppe zugewiesen dir bereits mehr Rechte im AD besitzt ...das lässt sich ja wie im Video gezeigt in den ACLs überprüfen.Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD
als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
Wenn du es nicht schaffst nehme halt den FAQ-o-Matic Dialog:
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
p.s. Hatte bisher nur positive Rückmeldungen von Usern meiner Anleitung, die haben es alle problemlos hinbekommen ... muss also bei dir liegen. Grundlegende AD-Kenntnisse sollten natürlich vorhanden sein. Die kann ich dir hier leider nicht vermitteln, das würde den Rahmen sprengen.
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
p.s. Hatte bisher nur positive Rückmeldungen von Usern meiner Anleitung, die haben es alle problemlos hinbekommen ... muss also bei dir liegen. Grundlegende AD-Kenntnisse sollten natürlich vorhanden sein. Die kann ich dir hier leider nicht vermitteln, das würde den Rahmen sprengen.
Zitat von @lordofremixes:
Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
das ist nicht normal, wie oben bereits geschrieben, nehm im Dialog alternativ die GUI-Optionen um nur Benutzerobjekte anzuzeigen, da die Query so simpel ist lohnt sich eine LDAP-Query hier nicht.Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
Filtern > Nur folgende Objekttypen anzeigen ... > "Benutzer" anhaken
Zitat von @lordofremixes:
Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer
oder Server sehen kann, sondern nur die 3 OU`s ?
Du hast die Anleitung nicht gelesen ... Punkt 3...Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer
oder Server sehen kann, sondern nur die 3 OU`s ?
ich seh hier nix ....
Und was spricht dagegen, die Daten zu exportieren und diese nach der Bereinigung wieder zu importieren?