0
Frage zur Benutzerverwaltungsdelegation im AD
Hallo,
ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:
Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.
Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.
Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.
Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?
So sieht mein AD-Baum aus:
Ich hoffe das war verständlich genug.
Grüße
Daniel
ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:
Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.
Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.
Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.
Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?
So sieht mein AD-Baum aus:
- Abteilung_A (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_A
- Abteilung_B (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_B
- Gruppen (OU)
- SupportUser_A (Group)
- SupportUser_B (Group)
- Supportable (OU) - Schreibrecht auf Eigenschaft "members" von Gruppenobjekte durch SupportUser_A und SupportUser_B
- Gruppe_G (Group)
Ich hoffe das war verständlich genug.
Grüße
Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 90209
Url: https://administrator.de/contentid/90209
Printed on: April 23, 2024 at 08:04 o'clock
