Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Netzwerk

Benutzer aufgaben Delegieren zum erstellen von Konten bzw. Kennwort zurücksetzen

Mitglied: lorenzstraus

lorenzstraus (Level 1) - Jetzt verbinden

13.01.2011 um 11:01 Uhr, 4562 Aufrufe, 3 Kommentare

Was muss ich einstellen damit User dies dürfen bzw. können.

Hallo, ich habe ein kleines Problem.

Wir haben einen Windows Server 2003 mit XP-Clients.

Ich möchte das ein Benutzer von einem sehr abgespektem Konto (z. B. Benutzername: "Benuter anlegen") Kontos anlegen und Kennwörter zurücksetzen dürfen.

Mit anderen Worten:

Ein rechner besitzt das AdminPack.
Es gibt ein einziges Konto wo nix weiter gemacht wird, wie Kennwörter der Mitarbeiter zurückzusetzen oder mal einen Benutzer anzulegen.

Mein Problem ist:
Wenn ich dieser Gruppe/Benutzer das delegiere, kann er Benutzer erstellen, Kennwörter zurücksetzen, alles Mögliche ändern und Benutzer Löschen. Das ganze kann er leider überall, inkl Domänen Admins. Außer bei Benutzer der Administratoren.

Ich möchte aber das man von diesem Konto, nur folgende sachen darf.

Administratoren: nix
Domänen-Admins: nix
Gruppe "Benutzer xxx" nix
Gruppe "Benutzer yyy" Kennwort ändern/zurücksetzen, Benutzer Aktivieren / Deaktivieren, Benutzer erstellen (automatisch in Gruppe "yyy")
Sämtliche einstellungen (egal ob "yyy" oder "xxx" sollen nicht verändert werden können (Netzlaufwerk, Anmeldezeiten, Anmelden an...)
Er darf keine Benutzer Löschen können, egal welcher Gruppe er angehört. Erstellen JA Löschen NEIN.

Ich habe schon viele Häckchen probiert bei dem Delegieren, allerdings bekomm ich oft Fehlermeldungen beim Erstellen von Benutzern. Das Deaktivieren bzw. Aktivieren von Benutzern klappt fast immer. Leider auch bei anderen Gruppen wo es nicht gehen soll.

Das Konto was ich dafür habe, habe ich über die Gruppenrichtlinie so weit abgespeckt, dass man nur DAS machen kann. keine Programme, Internet, Festplattenzugriff...

Ich hoffe ich habe das verständlich geschrieben. Weiß nicht wie ich es Erklären soll.
Mitglied: 60730
13.01.2011 um 11:33 Uhr
moin,

denkansätze

ich würde

  • dem User das Admin Pack wieder wegnehmen
  • den als Verwalter in die OU reinstecken, wo er fuhrwerken darf
  • für jeden der gewünschten Zwecke in der AD ein Script bauen, das sich primär um Varianten des Befehls

  • net user password /domain
  • net user password /domain /add

handelt. Und am besten das ganze via >>logfile.ini - damit es einen Nachweis gibt.

Das ist "etwas" sichereranderes, als die Keule mit dem großen mmc Werkzeug.
Und du kannst - eher davon ausgehen, dass er nur das machen kann, was du Ihm aufgetragen hast.
Mißbrauch ist so zwar nicht ausgeschlossen, aber du kannst sicherer sein, dass nur dann ein User angelegt wird - wenn alle nötigen Felder ausgefüllt sind. (das meine ich mit "sicher" - nicht sicher im Sinne von Sicherheit)


Gruß
Bitte warten ..
Mitglied: lorenzstraus
13.01.2011 um 11:59 Uhr
Zitat von 60730:
moin,

denkansätze

ich würde

  • dem User das Admin Pack wieder wegnehmen
  • den als Verwalter in die OU reinstecken, wo er fuhrwerken darf
in welche Gruppe soll ich den Benutzer stecken? Gibt es eine Gruppe namens "Verwalter"?
* für jeden der gewünschten Zwecke in der AD ein Script bauen, das sich primär um Varianten des Befehls
gibt es irgendwo eine Liste mit befehlen, also net user password /domein ist für Password... aber wo finde ich die Anderen?

  • net user password /domain
  • net user password /domain /add

handelt. Und am besten das ganze via >>logfile.ini - damit es einen Nachweis gibt.

Das ist "etwas" sichereranderes, als die Keule mit dem großen mmc Werkzeug.
Und du kannst - eher davon ausgehen, dass er nur das machen kann, was du Ihm aufgetragen hast.
Mißbrauch ist so zwar nicht ausgeschlossen, aber du kannst sicherer sein, dass nur dann ein User angelegt wird - wenn alle
nötigen Felder ausgefüllt sind. (das meine ich mit "sicher" - nicht sicher im Sinne von Sicherheit)

Wie erstellt dann der Benutzer die Benutzer bzw. Sperrt User? Soll ich mir da eine Eingabemaske bauen, oder gibts da ein Tool außer dem Adminpack?

vielen Dank
Bitte warten ..
Mitglied: Logan000
13.01.2011 um 13:30 Uhr
Moin Moin

gibt es irgendwo eine Liste mit befehlen, also net user password /domein ist für Password... aber wo finde ich die Anderen?
äh, Net User /?

Soll ich mir da eine Eingabemaske bauen,
Wenn Du möchtest, aber mal kann Skripte doch auch mit Parametern versehen oder Eingaben abfragen lassen.

oder gibts da ein Tool außer dem Adminpack?
Die gibt es sicher nur leisten diese (im groben) genau das gleiche.
Du wirst wohl kein Tool finden das nur deinen individuellen Delegationsanforderungen entspricht.

Zum Thema Delegation gibts hier ein gutes HowTo: http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Geplante Aufgabe erstellen - VBS
gelöst Frage von kontextBatch & Shell9 Kommentare

Hallo Leute, Hallo Programmier-Profis :-) :-D Ich arbeite zur Zeit an einem kleinen VB-Script und bin nun auf eine ...

Exchange Server
Kalenderberechtigung aller Benutzer in einer Domäne zurücksetzen
gelöst Frage von Type02Exchange Server3 Kommentare

Hallo Kollegen, benötige Eure Hilfe! Mitarbeiter im Unternehmen haben Kalenderfreigaben untereinander eigenverantwortlich verwaltet. Nun ist die Mitarbeiterzahl stark gestiegen ...

Windows Userverwaltung
Anzeigen ob AD Benutzer ein Kennwort hat
Frage von manuelwWindows Userverwaltung2 Kommentare

Hallo, kann ich unter Windows Server 2008R2 irgendwie herausfinden, ohne jetzt an einem PC mich anmelden zu müssen, ob ...

Windows Userverwaltung
Berechtigung Delegieren
gelöst Frage von it-winkensWindows Userverwaltung8 Kommentare

Hallo, ich komme leider irgendwie nicht weiter. Ich habe mir einen Testserver Windows 2008R2 aufgesetzt. Ich bin derzeit die ...

Neue Wissensbeiträge
CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 2 StundenCPU, RAM, Mainboards1 Kommentar

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 16 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 23 StundenDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 1 TagMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement25 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
Frage von Forseti2003Windows Server17 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör14 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...