5
Active Directory - Windows Server 2008 R2 - Einrichten eines eingeschränkten Benutzers zur Administration einer spezifischen ungeordneten OU
Hi ich bin noch relativ neu auf dem Gebiet von Server 2008 R2, Active-Directory und Exchange Server, da mir diverse Suchvorgänge noch nichts brauchbares ausgespuckt haben wende ich mich nun an Euch!
Guten Abend zusammen,
ich baue mir gerade eine virtuelle Testumgebung mit Server 2008 R2 auf um mich ein wenig mehr mit Active-Directory etc. auseinander zu setzen.
Das AD steht soweit auch schon, eine Haupt OU mit mehreren Unter-OUs, darin verteilt ein paar Testuser und Testgruppen sind bereits vorhanden.
Ich hätte zusätzlich gerne einen User ohne Adminrechte, mit dem ich innerhalb der Active-Directory Benutzer- und Computerverwaltung in einer spezifischen Untergeordneten OU neue Benutzer und Gruppen hinzufügen kann. Dieser Benutzer soll allerdings, sofern möglich die restlichen Elemente des AD's nicht sehen und verändern dürfen.
Lässt sich so etwas überhaupt realisieren?
Bisher habe ich einen zusätzlichen Benutzer (Domänenbenutzer, Mitglied von Remotedesktopbenutzer) eingerichtet und per Objektverwaltung berechtigt, in einer spezifischen Unter-OU Benutzer hinzuzufügen. Anmeldung via RDP funktioniert nach Anpassen der lokalen Sicherheitsrichtlinie auch.
Wie gehts nun weiter?
ich baue mir gerade eine virtuelle Testumgebung mit Server 2008 R2 auf um mich ein wenig mehr mit Active-Directory etc. auseinander zu setzen.
Das AD steht soweit auch schon, eine Haupt OU mit mehreren Unter-OUs, darin verteilt ein paar Testuser und Testgruppen sind bereits vorhanden.
Ich hätte zusätzlich gerne einen User ohne Adminrechte, mit dem ich innerhalb der Active-Directory Benutzer- und Computerverwaltung in einer spezifischen Untergeordneten OU neue Benutzer und Gruppen hinzufügen kann. Dieser Benutzer soll allerdings, sofern möglich die restlichen Elemente des AD's nicht sehen und verändern dürfen.
Lässt sich so etwas überhaupt realisieren?
Bisher habe ich einen zusätzlichen Benutzer (Domänenbenutzer, Mitglied von Remotedesktopbenutzer) eingerichtet und per Objektverwaltung berechtigt, in einer spezifischen Unter-OU Benutzer hinzuzufügen. Anmeldung via RDP funktioniert nach Anpassen der lokalen Sicherheitsrichtlinie auch.
Wie gehts nun weiter?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133081
Url: https://administrator.de/contentid/133081
Printed on: April 19, 2024 at 18:04 o'clock
5 Comments
Latest comment
Moin,
wie wäre es damit, wenn Du in dem Rest der OUs den User das read-Recht entziehst?
Gruß
24
wie wäre es damit, wenn Du in dem Rest der OUs den User das read-Recht entziehst?
Gruß
24
Lässt sich so etwas überhaupt realisieren?
Was du suchst heißt "Objektverwaltung delegieren..."
Was aber nicht möglich ist, dass du verhinderst, dass diese Nutzer den Rest des AD sehen können.
Um vernünftig zu funktionieren ist es notwendig, dass jeder User sich die AD-Objekte anschauen kann.
Grüße
Max
Salve,
so wie du es bisher durchgeführt hast, ist es korrekt. Du kannst Domänen-Benutzern die gewünschten Rechte im AD
über die Objektdelegierung delegieren [1].
Was aber das "nicht sehen" anbetrifft, ist das nicht ohne. Standardmäßig hat nämlich jeder authentifizierte Benutzer (Benutzer- sowie Computerobjekte)
das Leserecht im AD, was auch gut ist. Denn das AD dient in erster Linie der Netzwerkverwaltung. Du könntest wie es die Kollegen schon erwähnt haben,
dem Benutzer das Lesrecht an den Objekten die er nicht sehen soll entziehen. Doch was soll das bringen? Jeder Domänen-Benutzer hat auf das komplette
AD das Leserecht. Warum möchtest diesem einen das Recgt entziehen?
Wenn du nicht genau weißt was du tust und du mit der Materie nicht zu 100% vertraut bist, lass besser die Finger davon.
Ja ich weiß, du versuchst das in einer Testumgebung. Diese Aussage gilt für produktive Umgebungen.
Wie es weiter gehen soll? Na das musst du wissen was du testen möchtest.
[1] [LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
so wie du es bisher durchgeführt hast, ist es korrekt. Du kannst Domänen-Benutzern die gewünschten Rechte im AD
über die Objektdelegierung delegieren [1].
Was aber das "nicht sehen" anbetrifft, ist das nicht ohne. Standardmäßig hat nämlich jeder authentifizierte Benutzer (Benutzer- sowie Computerobjekte)
das Leserecht im AD, was auch gut ist. Denn das AD dient in erster Linie der Netzwerkverwaltung. Du könntest wie es die Kollegen schon erwähnt haben,
dem Benutzer das Lesrecht an den Objekten die er nicht sehen soll entziehen. Doch was soll das bringen? Jeder Domänen-Benutzer hat auf das komplette
AD das Leserecht. Warum möchtest diesem einen das Recgt entziehen?
Wenn du nicht genau weißt was du tust und du mit der Materie nicht zu 100% vertraut bist, lass besser die Finger davon.
Ja ich weiß, du versuchst das in einer Testumgebung. Diese Aussage gilt für produktive Umgebungen.
Wie es weiter gehen soll? Na das musst du wissen was du testen möchtest.
[1] [LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
/ > Yusuf Dikmenoglu
Hi,
danke erstmal für die Antworten!
Was das "nicht sehen" betrifft, so ist das für mich eher von zweitrangiger Bedeutung, wäre halt "nice-to-have" gewesen allerdings werde ich mich da vorerst nicht rantrauen.
Wichtiger ist, dass ich momentan noch nicht ganz durchblicke, wie ich die Benutzerverwaltung ohne Admin-Rechte geöffnet bekomme (Stichwort UAC usw.) Wenn ich dem User dann Adminrechte gebe kann ich nach gutdünken überall User und Gruppen anlegen, was ich ja eben vermeiden will.
Mit "wie es weitergeht" meinte ich eher wie sich das Ganze letztendlich so realisieren lässt, damit die Administration einer bestimmten OU funktioniert, der Benutzer in anderen OUs aber sprichwörtlich "auf die Finger geklopft bekommt".
danke erstmal für die Antworten!
Was das "nicht sehen" betrifft, so ist das für mich eher von zweitrangiger Bedeutung, wäre halt "nice-to-have" gewesen allerdings werde ich mich da vorerst nicht rantrauen.
Wichtiger ist, dass ich momentan noch nicht ganz durchblicke, wie ich die Benutzerverwaltung ohne Admin-Rechte geöffnet bekomme (Stichwort UAC usw.) Wenn ich dem User dann Adminrechte gebe kann ich nach gutdünken überall User und Gruppen anlegen, was ich ja eben vermeiden will.
Mit "wie es weitergeht" meinte ich eher wie sich das Ganze letztendlich so realisieren lässt, damit die Administration einer bestimmten OU funktioniert, der Benutzer in anderen OUs aber sprichwörtlich "auf die Finger geklopft bekommt".
Der Benutzer dem du die entsprechenden Rechte im AD delegieren möchtest, sollte idealerweise ein zweites Konto
haben und genau diesem zweiten Konto, delegierst du die Rechte. (z.B. Benutzer und Benutzer-Admin).
Der Benutzer ist mit seinem "normalen" Benutzerkonto an seinem Client angemeldet und startet die
MMC "Active Directory-Benutzer und -Computer" mit seinem zweiten Benutzerkonto (Benutzer-Admin).
Der Benutzer dem du die Rechte delegiert hast, kann dann nur in der OU das tun, was du ihm erlaubst.
Alle anderen OUs samt den Objekten die sich in den OUs befinden kann er zwar sehen, aber nichts daran verändern.
Delegierst du dem Benutzer das er in OU1 Benutzer erstellen und administrtieren darf, so kann er in allen anderen OUs
selbstverständlich nichts anderes, als sich lediglich die Objekte anzeigen.
Gruß, Yusuf Dikmenoglu
haben und genau diesem zweiten Konto, delegierst du die Rechte. (z.B. Benutzer und Benutzer-Admin).
Der Benutzer ist mit seinem "normalen" Benutzerkonto an seinem Client angemeldet und startet die
MMC "Active Directory-Benutzer und -Computer" mit seinem zweiten Benutzerkonto (Benutzer-Admin).
Der Benutzer dem du die Rechte delegiert hast, kann dann nur in der OU das tun, was du ihm erlaubst.
Alle anderen OUs samt den Objekten die sich in den OUs befinden kann er zwar sehen, aber nichts daran verändern.
Delegierst du dem Benutzer das er in OU1 Benutzer erstellen und administrtieren darf, so kann er in allen anderen OUs
selbstverständlich nichts anderes, als sich lediglich die Objekte anzeigen.
Gruß, Yusuf Dikmenoglu
