lordofremixes
Goto Top

Zugriff auf AD für Nicht-Domänenadmins einrichten

Hallo zusammen,

stehe mal wieder vor einem Problem ;)

Wir haben in der IT für die nächsten paar Tage eine Aushilfe bekommen. Sie soll das AD überarbeiten bzw. einheitlich machen. Ist vom Chef so gewünscht. Bitte keine gut gemeinten Ratschläge, ihr das Recht nicht zu geben, es ist wie gesagt vom Chef so gewünscht.
Ihre Aufgaben besteht nur darin, die User zu bearbeiten (Email- Adresse, Homepage, Name usw... bearbeiten), mehr soll sie nicht können.

Ich habe ihr jetzt schon mal den Zugriff per RDP auf den DC eingerichtet, d.h. sie kommt auf den Server. (gpedit.msc --> Lokal anmelden zulassen --> Benutzer eingetragen)
Öffne ich das AD, wird erstmal nach Kennwort und Passwort gefragt, obwohl ich sie unter Sicherheits des AD`s hinterlegt hab. Ab da komm ich nicht mehr weiter.
Sie soll nur Schreibrechte auf 3 OU´s bekommen. Dort sind unsere User aufgelistet, die sie bearbeiten soll. Auf alles andere soll sie nicht zugreifen können.

Wie richte ich sowas am besten ein bzw. gibt es hierfür eine Anleitung? Ist ein Windows Server 2008 SP2, der nur als DC agiert..

Bin um jeden Tipp dankbar.

Gruß
lordofremixes

Content-ID: 252013

Url: https://administrator.de/forum/zugriff-auf-ad-fuer-nicht-domaenenadmins-einrichten-252013.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

LordXearo
LordXearo 15.10.2014 um 14:34:33 Uhr
Goto Top
Hi,

wieso richtest du dafür einen lokalen Account auf dem Server ein...? Oh wei, oh wei.

Stell der Aushilfe einen Client zur Verfügung und installer darauf die RSAT-Tools. Zur Anmeldung gibt es einen Account in der Domäne, nur mit den Standard-Recht "Domänen-Benutzer". Diesen User Account fügst du bei den OUs im Reiter "Verwaltet von" ein. Damit müsste Sie alle Objekte in und unterhalb der OU bearbeiten können. Habe ich jetzt aber so noch nie einrichten müssen, und habe es nicht getestet.

Gruß
Xearo
colinardo
colinardo 15.10.2014 aktualisiert um 14:42:30 Uhr
Goto Top
lordofremixes
lordofremixes 15.10.2014 um 14:38:05 Uhr
Goto Top
Hallo zusammen,

ist mein Vorhaben eventuell auch über 'Objektverwaltung zuweisen ' direkt auf dem AD möglich?

gruß
LordXearo
LordXearo 15.10.2014 um 14:41:42 Uhr
Goto Top
Hi,

ja, damit kannst du auch dem Konto die benötigten Berechtigungen geben.

Gruß
Xearo
lordofremixes
lordofremixes 15.10.2014, aktualisiert am 30.03.2023 um 00:19:57 Uhr
Goto Top
Zitat von @colinardo:

Moin lordo,
dazu habe ich hier bereits diverse Informationen und Tutorials verbreitet:
back-to-topDelegation von Berechtigungen
Grundlegendes: [http://www.tecchannel.de/server/windows/460445/sicherheitsmanagement_im_active_directory/index4.html Die
Delegation von Berechtigungen]


Grüße Uwe


Hallo Uwe!

da lag ich ja mit 'Objektverwaltung zuweisen ' garnicht so falsch. Lese mir die Artikel gerade durch.
Habe jetzt eine neue Gruppe erstellt, die Aushilfe da reingetan, aber wenn ich bei 'Objektverwaltung zuweisen' ihr entsprechende Rechte zuweise und ich
dann als sie angemeldet 'Active Directory Benutzer und Computer' öffnen möchte, poppt die Benutzerkontensteuerung auf, und verlangt nach Passwort!?
Wie bekomme ich das denn hin, dass sie dann ins AD rein kommt?

Gruß
lordofremixes
LordXearo
LordXearo 15.10.2014 um 14:44:47 Uhr
Goto Top
Die UAC poppt zwar auf, du kannst aber auch Ihre Benutzerdaten eingeben.
colinardo
colinardo 15.10.2014 aktualisiert um 14:49:14 Uhr
Goto Top
Zitat von @lordofremixes:
Wie bekomme ich das denn hin, dass sie dann ins AD rein kommt?
ließ erst mal alles richtig durch ... steht dort alles, auch wie man eine benutzerdefinierte MMC erstellt, dann braucht die Dame gar nicht erst auf dem DC (Kopschüttel x-) ) arbeiten sondern eine stink normale Workstation die mit der Domain verbunden ist, tut es dann auch.
lordofremixes
lordofremixes 15.10.2014, aktualisiert am 30.03.2023 um 00:20:06 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @lordofremixes:
Wie bekomme ich das denn hin, dass sie dann ins AD rein kommt?
ließ erst mal alles richtig durch ... steht dort alles, auch wie man eine benutzerdefinierte MMC erstellt, dann braucht die
Dame gar nicht erst auf dem DC (Kopschüttel x-) ) arbeiten sondern eine stink normale Workstation die mit der Domain
verbunden ist, tut es dann auch.

Hallo Uwe!

Habe jetzt alles durchgelesen. Ich habe nun rsat auf dem PC der Aushilfe installiert und das Active Directory auf ihren Desktop gelegt.
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?

Gruß
lordofremixes
colinardo
colinardo 15.10.2014 aktualisiert um 15:41:34 Uhr
Goto Top
Zitat von @lordofremixes:
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die User
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
hier reicht ein
objectClass=user
da du die OU-Container ja bereits extra in der Baumstruktur explizit rootest, auf andere hat sie ja durch die Delegation sowieso keinen Zugriff... Also filterst du nur die Typen der Objekte im Container die sie ändern können soll
lordofremixes
lordofremixes 15.10.2014, aktualisiert am 30.03.2023 um 00:20:23 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @lordofremixes:
Jetzt bin ich gerade dabei, auf dem DC in der mmc den Filter zu erstellen. Aber was ist der richtige LDAP Befehl, um nur die
User
von insgesamt 3 OU`s (inkl. Unter- OU`s ) anzeigen zu lassen?
hier reicht ein
> objectClass=user
> 
da du die OU-Container ja bereits extra in der Baumstruktur explizit rootest, auf andere hat sie ja durch die Delegation sowieso
keinen Zugriff...

Hallo Uwe!

Ich habe jetzt im AD in der mmc.exe unter Datei, Snap-In hinzufügen die Active Directory Benutzer ausgewählt. Danach wollte ich ja wie bei
Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
beschrieben, den Filter erstellen. Dazu habe ich dann unter Filteroptionen, Benutzerdefinierte Suche den Code objectClass=user eingegeben. Dann wird aber nichts gefiltert. Ich sehe immer noch alles, kann sogar Computer löschen. Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?

Gruß
lordofremixes
colinardo
colinardo 15.10.2014 aktualisiert um 15:59:30 Uhr
Goto Top
Zitat von @lordofremixes:
kann sogar Computer löschen
dann rufst du die MMC nicht mit dem Useraccount der Dame auf oder die Usergruppe der du sie zugewiesen hast hat bereits mehr Rechte im AD, wenn du die Rechte richtig vergeben hast hat der User nur die Rechte auf den entsprechenden OUs.

zum Filter: hast du ihn überhaupt aktiviert ? Bei diesem einfachen Filter kannst du auch die Optionen oben im Dialog nutzen, was du an Objekttypen anzeigen möchtest ...
colinardo
colinardo 15.10.2014 aktualisiert um 15:59:56 Uhr
Goto Top
Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?
hast du überhaupt eine Custom MMC im Autoren-Modus erstellt ??
Du scheinst was grundlegend falsch zu machen, was das kann ich hier leider nicht sehen face-sad
lordofremixes
lordofremixes 15.10.2014 um 16:08:35 Uhr
Goto Top
Zitat von @colinardo:

> Auch habe ich keine Wahl 'Neues Fenster hier öffnen'. Was mach ich falsch?
hast du überhaupt eine Custom MMC im Autoren-Modus erstellt ??
Du scheinst was grundlegend falsch zu machen, was das kann ich hier leider nicht sehen face-sad

Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) --> Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..

Hoffe du hast noch Lust zu helfen..

Gruß
lordofremixes
colinardo
colinardo 15.10.2014 aktualisiert um 16:13:20 Uhr
Goto Top
Zitat von @lordofremixes:
Ok, da mach ich wohl echt was falsch.
1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User) -->
Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
Schau das Video von oben an, das ist eigentlich narrensicher ...Man vergibt dem User die Rechte auf den OU-Container !
2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
Erstellen kannst du die wo du willst, du musst sie aber hinterher im Useraccount der Benutzerin öffnen um zu testen wie sie es Live erlebt ...
3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Die Anleitung ist eigentlich eindeutig ...
lordofremixes
lordofremixes 15.10.2014 um 16:13:59 Uhr
Goto Top
Hallo Uwe!

Da ich es wahrscheinlich nicht hinbekommen werde, und ich ja das AD auf ihrem Desktop habe, eventuell kann ich ja nur
die entsprechenden OU`s , in der sie bearbeiten soll, einblenden, und alles andere ausblenden?

Gruß
lordofremixes
lordofremixes
lordofremixes 15.10.2014, aktualisiert am 30.03.2023 um 00:20:40 Uhr
Goto Top
Zitat von @colinardo:

> Zitat von @lordofremixes:
> Ok, da mach ich wohl echt was falsch.
> 1. Ich muss als Domänenadmin erst in den OU´s die entsprechenden Rechte vergeben? OU (Standort --> User)
-->
> Eigenschaften --> Sicherheit --> User hinzufügen und dann Schreiben und Lesen aktivieren)
Schau das Video von oben an, das ist eigentlich narrensicher ...Man vergibt dem User die Rechte auf den OU-Container !
> 2. Danach den Filter auf dem PC der Dame im Autorenmodus erstellen, nicht auf dem DC selbst?
Erstellen kannst du die wo du willst, du musst sie aber hinterher im Useraccount der Benutzerin öffnen um zu testen wie sie
es Live erlebt ...
> 3. wo steht was von dem angepriesenen AutorenModus bzw. wie öffne ich ihn? Finde dazu nichts in der Beschreibung..
Die Anleitung ist eigentlich eindeutig ...

Ok, das habe ich jetzt gemacht...Jetzt mach ich das nochmal mit der mmc.
lordofremixes
lordofremixes 15.10.2014 um 16:25:22 Uhr
Goto Top
Hallo Uwe!

Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?

Gruß
lordofremixes
colinardo
colinardo 15.10.2014 aktualisiert um 16:30:31 Uhr
Goto Top
Zitat von @lordofremixes:
Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das AD
als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
NEIN DEFINITIV NICHT, dann hast du vermutlich die Dame einer Gruppe zugewiesen dir bereits mehr Rechte im AD besitzt ...das lässt sich ja wie im Video gezeigt in den ACLs überprüfen.
colinardo
colinardo 15.10.2014 aktualisiert um 16:36:09 Uhr
Goto Top
Wenn du es nicht schaffst nehme halt den FAQ-o-Matic Dialog:
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...

p.s. Hatte bisher nur positive Rückmeldungen von Usern meiner Anleitung, die haben es alle problemlos hinbekommen ... muss also bei dir liegen. Grundlegende AD-Kenntnisse sollten natürlich vorhanden sein. Die kann ich dir hier leider nicht vermitteln, das würde den Rahmen sprengen.
lordofremixes
lordofremixes 15.10.2014 um 16:37:19 Uhr
Goto Top
Zitat von @colinardo:

> Zitat von @lordofremixes:
> Was ich nicht verstehe. Wenn ich als Domänenadmin , wie in dem Video, der Dame die Rechte zugewiesen habe, und dann das
AD
> als die Dame öffne, ist es dann normal, dass ich immer noch PC´s löschen kann?
NEIN DEFINITIV NICHT, dann hast du vermutlich die Dame einer Gruppe zugewiesen dir bereits mehr Rechte im AD besitzt ...das
lässt sich ja wie im Video gezeigt in den ACLs überprüfen.

OK. Dann passt es ja doch. Wenn ich auf Computer löschen klicke, kommt zwar die Bestätigungsabfrage, dann kommt aber Zugriff verweigert!
Mache es jetzt erstmal über die Benutzeraccount selbst, nicht über eine Gruppe. Da müssten die Berechtigungen ja dann passen.

Als nächstes gehe ich Schritt für Schritt die Anleitung 'Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory' durch.
Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
colinardo
colinardo 15.10.2014 aktualisiert um 16:46:28 Uhr
Goto Top
Zitat von @lordofremixes:
Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
das ist nicht normal, wie oben bereits geschrieben, nehm im Dialog alternativ die GUI-Optionen um nur Benutzerobjekte anzuzeigen, da die Query so simpel ist lohnt sich eine LDAP-Query hier nicht.
Filtern > Nur folgende Objekttypen anzeigen ... > "Benutzer" anhaken
Zur Info der Filter gilt immer nur für den Inhalt der Container nicht für die Baumansicht!!
lordofremixes
lordofremixes 15.10.2014 um 16:49:28 Uhr
Goto Top
Zitat von @colinardo:

> Zitat von @lordofremixes:
> Wenn ich den LDAP Befehl objectClass=user aber eingebe, sehe ich immer noch alles. Ist das richtig oder falsch?
das ist nicht normal, wie oben bereits geschrieben, nehm im Dialog alternativ die GUI-Optionen um nur Benutzerobjekte anzuzeigen,
da die Query so simpel ist lohnt sich eine LDAP-Query hier nicht.
> Filtern > Nur folgende Objekttypen anzeigen ... > "Benutzer" anhaken
> 
Zur Info der Filter gilt immer nur für den Inhalt der Container nicht für die Baumansicht!!

Hallo Uwe!

Jetzt bin ich schon ein ganzes Stück weiter. Sie muss nicht auf den Server, sie kann nichts löschen bzw. ändern was sie nicht darf.
Im Filter ist es eingestellt, dass sie wirklich nur die Benutzer sieht.
Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer oder Server sehen kann, sondern nur die 3 OU`s ?

Gruß
lordofremixes
colinardo
colinardo 15.10.2014 um 16:52:12 Uhr
Goto Top
Zitat von @lordofremixes:
Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner Computer
oder Server sehen kann, sondern nur die 3 OU`s ?
Du hast die Anleitung nicht gelesen ... Punkt 3...
lordofremixes
lordofremixes 15.10.2014 um 17:19:57 Uhr
Goto Top
Zitat von @colinardo:

> Zitat von @lordofremixes:
> Gibt es noch eine Möglichkeit, dass ich ihr im AD links die Struktur ausblenden kann, dass sie z.B. nicht den Ordner
Computer
> oder Server sehen kann, sondern nur die 3 OU`s ?
Du hast die Anleitung nicht gelesen ... Punkt 3...

Hallo Uwe,
habe Punkt 3 mehrmals wiederholt:
Die LDAP Abfrage muss ich ja nicht mehr eingeben, aber grafisch zusammenklicken, wenn ich z.B. die Email Adresse angezeigt haben möchte, verlangt er eine Bedingung? Wenn ich es mit der LDAP Abfrage mache, dann habe ich einfach nicht den Punkt Neues Fenster hier öffnen-..
colinardo
colinardo 15.10.2014 aktualisiert um 17:22:44 Uhr
Goto Top
och mönsch du bist echt schwer von Begriff..... Rechtsklick auf den OU-Container und dann "Neues Fenster hier öffnen" wählen...
lordofremixes
lordofremixes 15.10.2014 um 18:16:29 Uhr
Goto Top
Hallo Uwe!

Siehe Screenshot, es gibt da einfach kein : "Neues Fenster hier öffnen"
colinardo
colinardo 15.10.2014 aktualisiert um 18:18:13 Uhr
Goto Top
Zitat von @lordofremixes:
Siehe Screenshot
ich seh hier nix ....
lordofremixes
lordofremixes 15.10.2014 um 18:18:41 Uhr
Goto Top
Zitat von @colinardo:

> Zitat von @lordofremixes:
> Siehe Screenshot
ich seh hier nix ....

1979539dac0b4da55c0b4898528a98c0
colinardo
colinardo 15.10.2014 aktualisiert um 18:21:52 Uhr
Goto Top
welches Server-OS? und arbeitest du wirklich von einer einer leeren neuen MMC aus ?
lordofremixes
lordofremixes 15.10.2014 um 18:21:55 Uhr
Goto Top
Zitat von @colinardo:

welches Server-OS? und arbeitest du wirklich von einer einer leeren MMC aus ?

Windows Server 2008 SP2, kein R2
colinardo
Lösung colinardo 15.10.2014, aktualisiert am 16.10.2014 um 08:09:55 Uhr
Goto Top
Drück mal STRG+W während die Auswahl auf der OU steht, ansonsten nur noch letzte Chance > Teamviewer
sonst wird das nix mehr ...
117471
117471 17.10.2014 um 11:18:04 Uhr
Goto Top
Und was spricht dagegen, die Daten zu exportieren und diese nach der Bereinigung wieder zu importieren?
colinardo
colinardo 17.10.2014 aktualisiert um 12:10:22 Uhr
Goto Top
Hat alles einwandfrei funktioniert, er hatte nur ein kleines Verständnisproblem face-wink
(via Teamviewer auf die Sprünge geholfen)