11
Zugriff auf Active Directory Benutzer und Computer ermöglichen ohne den Benutzer in die Gruppe Domäne Administratoren hinzuzufügen?
Hallo zusammen,
ich möchte einem Benutzer den Zugriff auf "Active Directory-Benutzer und -Computer" ermöglichen ohne dass ich diesem Domäne Administratoren Rechte zuweise.
Welche Gruppe hat hierauf Einsicht? Ein lesender Zugriff wäre in meinem Fall völlig ausreichend.
Der Domain Controller ist ein Windows Server 2008 R2.
ich möchte einem Benutzer den Zugriff auf "Active Directory-Benutzer und -Computer" ermöglichen ohne dass ich diesem Domäne Administratoren Rechte zuweise.
Welche Gruppe hat hierauf Einsicht? Ein lesender Zugriff wäre in meinem Fall völlig ausreichend.
Der Domain Controller ist ein Windows Server 2008 R2.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 209050
Url: https://administrator.de/contentid/209050
Printed on: April 27, 2024 at 03:04 o'clock
11 Comments
Latest comment
Hi.
Jeder hat bereits Lesezugriff. Du kannst in der Netzwerkumgebung mal den Knopf "Active Directory durchsuchen" nutzen und Dir die Gruppe/den User/den Computer, den Du suchst anzeigen lassen.
Was willst Du genau?
Das Zauberwort für mehr als nur das lautet "delegation of privilege" und kann über das Paket RSAT komfortabel erreicht werden.
Jeder hat bereits Lesezugriff. Du kannst in der Netzwerkumgebung mal den Knopf "Active Directory durchsuchen" nutzen und Dir die Gruppe/den User/den Computer, den Du suchst anzeigen lassen.
Was willst Du genau?
Das Zauberwort für mehr als nur das lautet "delegation of privilege" und kann über das Paket RSAT komfortabel erreicht werden.
Hallo.
Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.
Die Dinger heissen "angepasste Taskpadansicht", werden aus einer bestehenden (auch schon angepassten) MMC heraus erstellt, und Microsoft hat auch einen Artikel dazu veröffentlicht: http://support.microsoft.com/kb/321143/de. Dieser Artikel ist für Win2K, sollte aber noch immer auch in höheren Windows-Versionen funktionieren.
Wenn aus dem Artikel nicht alles hervorgeht, was dazu wissen mußt und möchtest, bringt Dir Google weitere Ergebnisse durch die Suchbegriffe "Taskpadansicht MMC": https://www.google.de/search?q=angeapstte+taskpad+ansicht+erstellen& ....
Grüße
Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.
Die Dinger heissen "angepasste Taskpadansicht", werden aus einer bestehenden (auch schon angepassten) MMC heraus erstellt, und Microsoft hat auch einen Artikel dazu veröffentlicht: http://support.microsoft.com/kb/321143/de. Dieser Artikel ist für Win2K, sollte aber noch immer auch in höheren Windows-Versionen funktionieren.
Wenn aus dem Artikel nicht alles hervorgeht, was dazu wissen mußt und möchtest, bringt Dir Google weitere Ergebnisse durch die Suchbegriffe "Taskpadansicht MMC": https://www.google.de/search?q=angeapstte+taskpad+ansicht+erstellen& ....
Grüße
Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde und dann "Active Directory-Benutzer und -Computer" starten möchte meldet sich die Benutzerkontensteuerung. Mit den Anmeldedaten des angemeldeten Benutzers komme ich darüber nicht hinaus.
Ich hatte dies so gedeutet, dass nicht ausreichend Rechte vorhanden wären um auf die Inhalte der mmc zuzugreifen?!
Der Zugriff via RSAT scheitert leider daran, dass der verwendete Client noch Windows XP Pro als Betriebssystem verwendet. Daher hatte ich gehofft eine Anmeldung am Domain Controller per RDP, allerdings mit eingeschränkten Rechten, ermöglichen zu können.
Ich hatte dies so gedeutet, dass nicht ausreichend Rechte vorhanden wären um auf die Inhalte der mmc zuzugreifen?!
Der Zugriff via RSAT scheitert leider daran, dass der verwendete Client noch Windows XP Pro als Betriebssystem verwendet. Daher hatte ich gehofft eine Anmeldung am Domain Controller per RDP, allerdings mit eingeschränkten Rechten, ermöglichen zu können.
Moin,
@departure69:
lg + auf die Antwort gespannt,
Slainte
@departure69:
Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in
die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.
Welche geheimen Information würde denn ein User mit Leserechten dem Snap-In entnehmen können die er nicht auch über die von @DerWoWusste beschriebene Suche und/oder der Netzwerkumgebung bzw dem Outlook/Exchange Adressbuch einsehen kann?die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.
lg + auf die Antwort gespannt,
Slainte
Zitat von @pressluft:
Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde
Das sollte ein "normaler" User gar nicht können. Login (lokal oder per RDP) am DC sollte nur den (Doomain)Admins erlaubt sein. Alles andere ist sicherheitstechnisch eine Katastrophe.Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde
Also dafür eine Anmeldung per RDP ist nicht gut. Sag doch mal was zu den von mir genannten Möglichkeiten neben RSAT. (Statt rsat gab es auf xp das adminpak.msi).
@SlainteMhath:
Hallo.
Über die Suche im AD kriegt er nur das, was er sucht. Also mithin stets nur eine Momentaufnahme, die eingeschränkt ist auf das, was er gesucht hat, nämlich das einzelne Suchergebnis. Geht es den "normalen" User etwas an, wie das AD strukturiert ist? Wie die Container und OUs angelegt sind? Soll er wirklich gemütlich und nacheinander, ohne jedesmal die Suche bemühen zu müssen, alle Gruppenmitgliedschaften einsehen können? Vielleicht ja. Ich würde das in den von mir betreuten ADs nur ausgesuchten, per Unterschrift rechtsverpflichteten (was darf er, was geht ihn nichts an?) Benutzern geben. Und auch denen nur mit einer von mir angepaßten Taskpadansicht.
Grüße
Hallo.
Über die Suche im AD kriegt er nur das, was er sucht. Also mithin stets nur eine Momentaufnahme, die eingeschränkt ist auf das, was er gesucht hat, nämlich das einzelne Suchergebnis. Geht es den "normalen" User etwas an, wie das AD strukturiert ist? Wie die Container und OUs angelegt sind? Soll er wirklich gemütlich und nacheinander, ohne jedesmal die Suche bemühen zu müssen, alle Gruppenmitgliedschaften einsehen können? Vielleicht ja. Ich würde das in den von mir betreuten ADs nur ausgesuchten, per Unterschrift rechtsverpflichteten (was darf er, was geht ihn nichts an?) Benutzern geben. Und auch denen nur mit einer von mir angepaßten Taskpadansicht.
Grüße
Du sprachst ja davon, dass es "fatal" wäre. Dass er einen Einblick in Strukturen erhält, ist von MS so gewollt. Man kann die Suchergebnisanzahl per GPO beschränken oder auf Null setzen, aber wird das auch andere LDAP-Browsingtools stoppen? Ich glaube nicht, dass das geht, insofern: es ist nachvollziehbar, wenn Du Dich daran störst, aber was daran ist "fatal"?
@departure69
Naja, kommt natürlich immer auf das individuelle Sicherheitsbedürfniss an, aber im allgemeinen gehören Gruppenmitgliedschaften und Aufbau der AD nicht zu den Betriebsgeheimnissen.
Und wenn doch, dann hilft eh nur eine steingende Rechtevergabe innerhalb des AD, sonst kann der Interessierte Hobbyspion auch jederzeit dsquery, dsget oder eine LDAP Browser seiner Wahl bemühen.
Naja, kommt natürlich immer auf das individuelle Sicherheitsbedürfniss an, aber im allgemeinen gehören Gruppenmitgliedschaften und Aufbau der AD nicht zu den Betriebsgeheimnissen.
Und wenn doch, dann hilft eh nur eine steingende Rechtevergabe innerhalb des AD, sonst kann der Interessierte Hobbyspion auch jederzeit dsquery, dsget oder eine LDAP Browser seiner Wahl bemühen.
Mahlzeit.
Lesender Zugriff reicht aus?
Verknüpfung erstellen zu und z.B. als "Search AD" auf dem User-Desktop ablegen.
Cheers,
jsysde
Lesender Zugriff reicht aus?
Verknüpfung erstellen zu
%windir%\system32\rundll32.exe dsquery,OpenQueryWindowCheers,
jsysde
Ich danke euch für die zahlreichen Antworten.
Ich habe mein Anliegen mithilfe des "adminpak.msi" gelöst.
Ich habe mein Anliegen mithilfe des "adminpak.msi" gelöst.