Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory - Windows Server 2008 R2 - Einrichten eines eingeschränkten Benutzers zur Administration einer spezifischen ungeordneten OU

Frage Microsoft Windows Server

Mitglied: JohnnyMPEG

JohnnyMPEG (Level 1) - Jetzt verbinden

10.01.2010 um 18:52 Uhr, 15019 Aufrufe, 5 Kommentare

Hi ich bin noch relativ neu auf dem Gebiet von Server 2008 R2, Active-Directory und Exchange Server, da mir diverse Suchvorgänge noch nichts brauchbares ausgespuckt haben wende ich mich nun an Euch!

Guten Abend zusammen,

ich baue mir gerade eine virtuelle Testumgebung mit Server 2008 R2 auf um mich ein wenig mehr mit Active-Directory etc. auseinander zu setzen.

Das AD steht soweit auch schon, eine Haupt OU mit mehreren Unter-OUs, darin verteilt ein paar Testuser und Testgruppen sind bereits vorhanden.

Ich hätte zusätzlich gerne einen User ohne Adminrechte, mit dem ich innerhalb der Active-Directory Benutzer- und Computerverwaltung in einer spezifischen Untergeordneten OU neue Benutzer und Gruppen hinzufügen kann. Dieser Benutzer soll allerdings, sofern möglich die restlichen Elemente des AD's nicht sehen und verändern dürfen.

Lässt sich so etwas überhaupt realisieren?


Bisher habe ich einen zusätzlichen Benutzer (Domänenbenutzer, Mitglied von Remotedesktopbenutzer) eingerichtet und per Objektverwaltung berechtigt, in einer spezifischen Unter-OU Benutzer hinzuzufügen. Anmeldung via RDP funktioniert nach Anpassen der lokalen Sicherheitsrichtlinie auch.

Wie gehts nun weiter?
Mitglied: 2hard4you
10.01.2010 um 18:59 Uhr
Moin,

wie wäre es damit, wenn Du in dem Rest der OUs den User das read-Recht entziehst?

Gruß

24
Bitte warten ..
Mitglied: dog
10.01.2010 um 19:40 Uhr
Lässt sich so etwas überhaupt realisieren?

Was du suchst heißt "Objektverwaltung delegieren..."
Was aber nicht möglich ist, dass du verhinderst, dass diese Nutzer den Rest des AD sehen können.
Um vernünftig zu funktionieren ist es notwendig, dass jeder User sich die AD-Objekte anschauen kann.

Grüße

Max
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
10.01.2010 um 21:20 Uhr
Salve,

so wie du es bisher durchgeführt hast, ist es korrekt. Du kannst Domänen-Benutzern die gewünschten Rechte im AD
über die Objektdelegierung delegieren [1].

Was aber das "nicht sehen" anbetrifft, ist das nicht ohne. Standardmäßig hat nämlich jeder authentifizierte Benutzer (Benutzer- sowie Computerobjekte)
das Leserecht im AD, was auch gut ist. Denn das AD dient in erster Linie der Netzwerkverwaltung. Du könntest wie es die Kollegen schon erwähnt haben,
dem Benutzer das Lesrecht an den Objekten die er nicht sehen soll entziehen. Doch was soll das bringen? Jeder Domänen-Benutzer hat auf das komplette
AD das Leserecht. Warum möchtest diesem einen das Recgt entziehen?

Wenn du nicht genau weißt was du tust und du mit der Materie nicht zu 100% vertraut bist, lass besser die Finger davon.
Ja ich weiß, du versuchst das in einer Testumgebung. Diese Aussage gilt für produktive Umgebungen.

Wie es weiter gehen soll? Na das musst du wissen was du testen möchtest.


[1] [LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: JohnnyMPEG
10.01.2010 um 23:04 Uhr
Hi,

danke erstmal für die Antworten!

Was das "nicht sehen" betrifft, so ist das für mich eher von zweitrangiger Bedeutung, wäre halt "nice-to-have" gewesen allerdings werde ich mich da vorerst nicht rantrauen.

Wichtiger ist, dass ich momentan noch nicht ganz durchblicke, wie ich die Benutzerverwaltung ohne Admin-Rechte geöffnet bekomme (Stichwort UAC usw.) Wenn ich dem User dann Adminrechte gebe kann ich nach gutdünken überall User und Gruppen anlegen, was ich ja eben vermeiden will.


Mit "wie es weitergeht" meinte ich eher wie sich das Ganze letztendlich so realisieren lässt, damit die Administration einer bestimmten OU funktioniert, der Benutzer in anderen OUs aber sprichwörtlich "auf die Finger geklopft bekommt".
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
11.01.2010 um 00:03 Uhr
Der Benutzer dem du die entsprechenden Rechte im AD delegieren möchtest, sollte idealerweise ein zweites Konto
haben und genau diesem zweiten Konto, delegierst du die Rechte. (z.B. Benutzer und Benutzer-Admin).
Der Benutzer ist mit seinem "normalen" Benutzerkonto an seinem Client angemeldet und startet die
MMC "Active Directory-Benutzer und -Computer" mit seinem zweiten Benutzerkonto (Benutzer-Admin).

Der Benutzer dem du die Rechte delegiert hast, kann dann nur in der OU das tun, was du ihm erlaubst.
Alle anderen OUs samt den Objekten die sich in den OUs befinden kann er zwar sehen, aber nichts daran verändern.
Delegierst du dem Benutzer das er in OU1 Benutzer erstellen und administrtieren darf, so kann er in allen anderen OUs
selbstverständlich nichts anderes, als sich lediglich die Objekte anzeigen.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...