Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory - Windows Server 2008 R2 - Einrichten eines eingeschränkten Benutzers zur Administration einer spezifischen ungeordneten OU

Frage Microsoft Windows Server

Mitglied: JohnnyMPEG

JohnnyMPEG (Level 1) - Jetzt verbinden

10.01.2010 um 18:52 Uhr, 15061 Aufrufe, 5 Kommentare

Hi ich bin noch relativ neu auf dem Gebiet von Server 2008 R2, Active-Directory und Exchange Server, da mir diverse Suchvorgänge noch nichts brauchbares ausgespuckt haben wende ich mich nun an Euch!

Guten Abend zusammen,

ich baue mir gerade eine virtuelle Testumgebung mit Server 2008 R2 auf um mich ein wenig mehr mit Active-Directory etc. auseinander zu setzen.

Das AD steht soweit auch schon, eine Haupt OU mit mehreren Unter-OUs, darin verteilt ein paar Testuser und Testgruppen sind bereits vorhanden.

Ich hätte zusätzlich gerne einen User ohne Adminrechte, mit dem ich innerhalb der Active-Directory Benutzer- und Computerverwaltung in einer spezifischen Untergeordneten OU neue Benutzer und Gruppen hinzufügen kann. Dieser Benutzer soll allerdings, sofern möglich die restlichen Elemente des AD's nicht sehen und verändern dürfen.

Lässt sich so etwas überhaupt realisieren?


Bisher habe ich einen zusätzlichen Benutzer (Domänenbenutzer, Mitglied von Remotedesktopbenutzer) eingerichtet und per Objektverwaltung berechtigt, in einer spezifischen Unter-OU Benutzer hinzuzufügen. Anmeldung via RDP funktioniert nach Anpassen der lokalen Sicherheitsrichtlinie auch.

Wie gehts nun weiter?
Mitglied: 2hard4you
10.01.2010 um 18:59 Uhr
Moin,

wie wäre es damit, wenn Du in dem Rest der OUs den User das read-Recht entziehst?

Gruß

24
Bitte warten ..
Mitglied: dog
10.01.2010 um 19:40 Uhr
Lässt sich so etwas überhaupt realisieren?

Was du suchst heißt "Objektverwaltung delegieren..."
Was aber nicht möglich ist, dass du verhinderst, dass diese Nutzer den Rest des AD sehen können.
Um vernünftig zu funktionieren ist es notwendig, dass jeder User sich die AD-Objekte anschauen kann.

Grüße

Max
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
10.01.2010 um 21:20 Uhr
Salve,

so wie du es bisher durchgeführt hast, ist es korrekt. Du kannst Domänen-Benutzern die gewünschten Rechte im AD
über die Objektdelegierung delegieren [1].

Was aber das "nicht sehen" anbetrifft, ist das nicht ohne. Standardmäßig hat nämlich jeder authentifizierte Benutzer (Benutzer- sowie Computerobjekte)
das Leserecht im AD, was auch gut ist. Denn das AD dient in erster Linie der Netzwerkverwaltung. Du könntest wie es die Kollegen schon erwähnt haben,
dem Benutzer das Lesrecht an den Objekten die er nicht sehen soll entziehen. Doch was soll das bringen? Jeder Domänen-Benutzer hat auf das komplette
AD das Leserecht. Warum möchtest diesem einen das Recgt entziehen?

Wenn du nicht genau weißt was du tust und du mit der Materie nicht zu 100% vertraut bist, lass besser die Finger davon.
Ja ich weiß, du versuchst das in einer Testumgebung. Diese Aussage gilt für produktive Umgebungen.

Wie es weiter gehen soll? Na das musst du wissen was du testen möchtest.


[1] [LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße
/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: JohnnyMPEG
10.01.2010 um 23:04 Uhr
Hi,

danke erstmal für die Antworten!

Was das "nicht sehen" betrifft, so ist das für mich eher von zweitrangiger Bedeutung, wäre halt "nice-to-have" gewesen allerdings werde ich mich da vorerst nicht rantrauen.

Wichtiger ist, dass ich momentan noch nicht ganz durchblicke, wie ich die Benutzerverwaltung ohne Admin-Rechte geöffnet bekomme (Stichwort UAC usw.) Wenn ich dem User dann Adminrechte gebe kann ich nach gutdünken überall User und Gruppen anlegen, was ich ja eben vermeiden will.


Mit "wie es weitergeht" meinte ich eher wie sich das Ganze letztendlich so realisieren lässt, damit die Administration einer bestimmten OU funktioniert, der Benutzer in anderen OUs aber sprichwörtlich "auf die Finger geklopft bekommt".
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
11.01.2010 um 00:03 Uhr
Der Benutzer dem du die entsprechenden Rechte im AD delegieren möchtest, sollte idealerweise ein zweites Konto
haben und genau diesem zweiten Konto, delegierst du die Rechte. (z.B. Benutzer und Benutzer-Admin).
Der Benutzer ist mit seinem "normalen" Benutzerkonto an seinem Client angemeldet und startet die
MMC "Active Directory-Benutzer und -Computer" mit seinem zweiten Benutzerkonto (Benutzer-Admin).

Der Benutzer dem du die Rechte delegiert hast, kann dann nur in der OU das tun, was du ihm erlaubst.
Alle anderen OUs samt den Objekten die sich in den OUs befinden kann er zwar sehen, aber nichts daran verändern.
Delegierst du dem Benutzer das er in OU1 Benutzer erstellen und administrtieren darf, so kann er in allen anderen OUs
selbstverständlich nichts anderes, als sich lediglich die Objekte anzeigen.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory ServiceAccounts zur Administration
Frage von winlinWindows Server11 Kommentare

Hallo Leute, bei uns hat jeder seinen Useraccount der keine administrativen Rechte hat. Zudem sollen die Admins spezielle Accounts ...

Windows Server
Anlegen eines Benutzers in der Active Directory durch einen Laien
Frage von akadawaWindows Server2 Kommentare

Tach liebe Community, ich bearbeite z.Z. an meinem Projekt fürn meine Prüfung und mir fehlen ein Paar Infos bzw ...

Windows Userverwaltung
Active directory attribute von ou übernehmen
gelöst Frage von pppp666Windows Userverwaltung1 Kommentar

Hi, Ich hab da mal ne frage zum Thema AD. Werden Attribute von ou's auf die zugeordneten user übertragen? ...

Windows Userverwaltung
Active Directory - OU Anordnung und Aufbau
Frage von neueradmuserWindows Userverwaltung9 Kommentare

Hallo, ich habe mal wieder einen Server vor mir wo alle User in der OU User sind, alle PC's ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 14 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 17 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 17 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 21 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...