11
Active Directory ServiceAccounts zur Administration
Hallo Leute,
bei uns hat jeder seinen Useraccount der keine administrativen Rechte hat. Zudem sollen die Admins spezielle Accounts bekommen mit welchen Sie dann bestimmte Aufgaben erledigen können, z.B.
- Computer Management (anlegen, löschen etc. von Computerobjekten)
- User/Group Management (anlegen, löschen etv. von Benutzern/Gruppen)
- usw.
Nun die Frage zur Umsetzung. Ich würde z.B. eine Comp-Mgmt-Account anlegen. Dann würde ich in der OU "Computers" "delegation control" auswählen und würde diesen neuen Account das Recht erteilen computer Objekte anzulegen etc.
Wenn ich dann auf meinem Compupter eingeloggt bin und den Server Manager -> Active Directory Users and Computers öffnen will dann geht das nicht weil er diesen ja mit meinem normalen user öffnen will. Und ein runas geht auch nicht.
Wie bekomme ich es nun hin das ich mit dem neuen service account unser Active Directory Users and Computers öffne?? Ich möchte nun checken ob ich mit dem angelegten account computer objekte anlegen löschen etc. kann????
Grundsätzliche Frage:
Wenn ich in einer OU ein bestimmtes Recht erteilen will für einen Service Account dann wähle ich die OU aus gehe auf delegate control und erteile die Rechte?!?!?! Dann hat der ausgewählte User nur für die OU das entsprechende Recht???
bei uns hat jeder seinen Useraccount der keine administrativen Rechte hat. Zudem sollen die Admins spezielle Accounts bekommen mit welchen Sie dann bestimmte Aufgaben erledigen können, z.B.
- Computer Management (anlegen, löschen etc. von Computerobjekten)
- User/Group Management (anlegen, löschen etv. von Benutzern/Gruppen)
- usw.
Nun die Frage zur Umsetzung. Ich würde z.B. eine Comp-Mgmt-Account anlegen. Dann würde ich in der OU "Computers" "delegation control" auswählen und würde diesen neuen Account das Recht erteilen computer Objekte anzulegen etc.
Wenn ich dann auf meinem Compupter eingeloggt bin und den Server Manager -> Active Directory Users and Computers öffnen will dann geht das nicht weil er diesen ja mit meinem normalen user öffnen will. Und ein runas geht auch nicht.
Wie bekomme ich es nun hin das ich mit dem neuen service account unser Active Directory Users and Computers öffne?? Ich möchte nun checken ob ich mit dem angelegten account computer objekte anlegen löschen etc. kann????
Grundsätzliche Frage:
Wenn ich in einer OU ein bestimmtes Recht erteilen will für einen Service Account dann wähle ich die OU aus gehe auf delegate control und erteile die Rechte?!?!?! Dann hat der ausgewählte User nur für die OU das entsprechende Recht???
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 306378
Url: https://administrator.de/contentid/306378
Printed on: April 20, 2024 at 03:04 o'clock
11 Comments
Latest comment
rechte Maustaste mit gedrückter shift Taste, öffnen als anderer Benutzer und schon kann man sich mit dem Admin Account anmelden.
Funktioniert wunderbar und ohne Probleme.
Funktioniert wunderbar und ohne Probleme.
Ziel ist es Administratoren nur in einer bestimmten OU Rechte zu erteilen.
Es gibt ein root forest, da drunter jeweils eine OU für Lokation01, Lokation02, Lokation03. Jede dieser Lokationen ist gleich aufgebaut (hat ihre Users, Groups, Computers etc.). Jede OU soll ihre eigenen Admins bekommen. Und der Admin aus 01 soll auch nur seine OU administrieren können - kann in die anderen zwar einsehen aber mehr nicht. Wie erteile ich dem Admin aus Lok01 bestimmte Rechte wie z.b. nur in seiner OU Computer Objekte, User und Gruppen anzulegen zu löschen usw.
Mit delegate control erteile ich ja die Rechte wie z.b. computer objekte anzulegen auf das gesamte forest oder?!?!?! Wie mache ich das wenn ich dann eben dem Admin aus Lok01 dieses Recht nur in seiner OU erteilen will?
Es gibt ein root forest, da drunter jeweils eine OU für Lokation01, Lokation02, Lokation03. Jede dieser Lokationen ist gleich aufgebaut (hat ihre Users, Groups, Computers etc.). Jede OU soll ihre eigenen Admins bekommen. Und der Admin aus 01 soll auch nur seine OU administrieren können - kann in die anderen zwar einsehen aber mehr nicht. Wie erteile ich dem Admin aus Lok01 bestimmte Rechte wie z.b. nur in seiner OU Computer Objekte, User und Gruppen anzulegen zu löschen usw.
Mit delegate control erteile ich ja die Rechte wie z.b. computer objekte anzulegen auf das gesamte forest oder?!?!?! Wie mache ich das wenn ich dann eben dem Admin aus Lok01 dieses Recht nur in seiner OU erteilen will?
Hi,
Tipp: "Servie Account" ist ein Fachbegriff und bezeichnet etwas ganz anderes.
E.
Nun die Frage zur Umsetzung. Ich würde z.B. eine Comp-Mgmt-Account anlegen. Dann würde ich in der OU "Computers" "delegation control" auswählen und würde diesen neuen Account das Recht erteilen computer Objekte anzulegen etc.
Noch besser wäre es, die Anzahl an Computer, die ein Nicht-Admin der Domäne hinzufügen darf, auf 1 (Minimum) zu senken und dann den Benutzern in der Domäne das Recht zum Hinzufügen von Computernzur Domäne und in der Ziel OU (nicht "Computers") das Recht zum Erstellen, Löschen, Ändern von Computer-Objekten erteilst. Wenn jemand dann einen Computer der Domäne beitreten lassen will, dann muss er erst manuell in der gewünschten OU das Computer-Objekterstellen und kann dann mit dem gleichnamigen Computer der Domäne beitreten.Wenn ich dann auf meinem Compupter eingeloggt bin und den Server Manager -> Active Directory Users and Computers öffnen will dann geht das nicht weil er diesen ja mit meinem normalen user öffnen will. Und ein runas geht auch nicht.
Warum soll das nicht gehen? Wenn Du nicht per GPO den Nicht-Admins verweigert hast, generell die MMC starten zu dürfen, dann kann jeder Benutzer alle MMC starten. Er kann dann sicher nur im Rahmen seiner Rechte damit was ausrichten, aber starten kann er sie. Und im Fall AD Benutzer und Computer kann er dann damit zumindst fast alles im AD lesen.Wie bekomme ich es nun hin das ich mit dem neuen service account unser Active Directory Users and Computers öffne?? Ich möchte nun checken ob ich mit dem angelegten account computer objekte anlegen löschen etc. kann????
Am PC mit diesem User anmelden?Wenn ich in einer OU ein bestimmtes Recht erteilen will für einen Service Account dann wähle ich die OU aus gehe auf delegate control und erteile die Rechte?!?!?! Dann hat der ausgewählte User nur für die OU das entsprechende Recht???
Wenn Du es richtig machst, ja.Tipp: "Servie Account" ist ein Fachbegriff und bezeichnet etwas ganz anderes.
E.
Erstmal danke für dein Feedback.
Zu überlegen ist wirklich ob man für jede Tätigkeit einen eigenen Account anlegen soll oder nicht dem Admin per Delegation Control die entsprechenden Rechte zuweisen soll???? Blöd wäre es nämlich wenn er für jede admin Tätigkeit sich mit dem anderen User einloggen muss?!?!?
Oder Specht das gegen die Security???
Und bzgl delegate Control.... Wenn ich auf ou02 gehe und dort in die ou Users und dem admin04 per Delegation Control rechte zum anlegen von Usern erteile.....dann kann er nur dort User anlegen und in anderen oder übergeordneten ou nixht??? Wie kann ich das sehen wo er dieses Recht anwendet u d das es eben nur in der bestimmten ou ist???
Zu überlegen ist wirklich ob man für jede Tätigkeit einen eigenen Account anlegen soll oder nicht dem Admin per Delegation Control die entsprechenden Rechte zuweisen soll???? Blöd wäre es nämlich wenn er für jede admin Tätigkeit sich mit dem anderen User einloggen muss?!?!?
Oder Specht das gegen die Security???
Und bzgl delegate Control.... Wenn ich auf ou02 gehe und dort in die ou Users und dem admin04 per Delegation Control rechte zum anlegen von Usern erteile.....dann kann er nur dort User anlegen und in anderen oder übergeordneten ou nixht??? Wie kann ich das sehen wo er dieses Recht anwendet u d das es eben nur in der bestimmten ou ist???
Folge mal dem Hinweis von Skybird!
Active Directory Benutzer und Computer >> Ansicht >> "Erweiterte Features".
Dann Kontextmenü auf Container/OU ->> Eigenschaften >> Tab "Sicherheit"
Delegate Control ist nichts anderes als ACLs auf die AD Objekte/Container zu vergeben, genau wie im Dateisystem auch.
Dann Kontextmenü auf Container/OU ->> Eigenschaften >> Tab "Sicherheit"
Delegate Control ist nichts anderes als ACLs auf die AD Objekte/Container zu vergeben, genau wie im Dateisystem auch.
Hallo Winlin,
bist Du sicher das Du die Dienstkonten richtig verstanden hast?
Das sind keine Konten mit denen sich ein Benutzer/Admin einloggt!
Mit freundlichen Grüßen
kowa
Update: emerics link erklärt Dir was das ist
bist Du sicher das Du die Dienstkonten richtig verstanden hast?
Das sind keine Konten mit denen sich ein Benutzer/Admin einloggt!
Mit freundlichen Grüßen
kowa
Update: emerics link erklärt Dir was das ist
ja genau so werde ich das jetzt auch machen - super vielen Dank. Infos waren echt hilfreich.
Was würdet ihr empfehlen - soll ich für jeden Task (User anlegen, Computerobjekte anlegen, GPO verwalten etc.) eigene User anlegen. Oder soll ich die verschiedenen tasks den jeweiligen Admins zuweisen (also auf deren Adminaccounts)???
Was würdet ihr empfehlen - soll ich für jeden Task (User anlegen, Computerobjekte anlegen, GPO verwalten etc.) eigene User anlegen. Oder soll ich die verschiedenen tasks den jeweiligen Admins zuweisen (also auf deren Adminaccounts)???
Ich würde mit Gruppen arbeiten...
Was würdet ihr empfehlen - soll ich für jeden Task (User anlegen, Computerobjekte anlegen, GPO verwalten etc.) eigene User anlegen. Oder soll ich die verschiedenen tasks den jeweiligen Admins zuweisen (also auf deren Adminaccounts)???
Würdest Du Dich jedesmal mit einem anderen Benutzer anmelden wollen, wenn Du eine andere Aufgabe erledigen willst/musst?pro Admin-Mitarbeiter
- 1 "normal" Konto --> Nicht-Admin
- 1 Admin-Konto mit allen delegierten Rechten
