Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zur Benutzerverwaltungsdelegation im AD

Frage Microsoft Windows Userverwaltung

Mitglied: DerSauron

DerSauron (Level 1) - Jetzt verbinden

19.06.2008 um 14:14 Uhr, 2090 Aufrufe

Hallo,

ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:

Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.

Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.

Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.

Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?

So sieht mein AD-Baum aus:

  • Abteilung_A (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_A
  • Abteilung_B (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_B
  • Gruppen (OU)
    • SupportUser_A (Group)
    • SupportUser_B (Group)
    • Supportable (OU) - Schreibrecht auf Eigenschaft "members" von Gruppenobjekte durch SupportUser_A und SupportUser_B
      • Gruppe_G (Group)

Ich hoffe das war verständlich genug.

Grüße
Daniel
Ähnliche Inhalte
Windows Server
Frage zum AD-Design
Frage von BovarianWindows Server4 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, das AD für einen Holding zu entwerfen, die mehrere Unternehmen beinhaltet. Ein ...

Exchange Server
Frage zu Office365 mit Azure AD Connect
Frage von PizzaPepperoniExchange Server2 Kommentare

Hallo. Ich habe ne Frage zum Office365. Ich habe mir privat nen Office365 Tenant erstellt mit 3 Lizenzen. Die ...

Windows Userverwaltung
Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt
Frage von DietmarHenneckeWindows Userverwaltung8 Kommentare

Hallo zusammen, ich möchte vom Personalbüro und/oder anderen Usern ohne Adminrecht AD-Adressdaten korrigieren lassen. Hierzu habe ich das sehr ...

Windows Server
Frage zum AD - Trust zwischen 2 Domänen - Abfrage Berechtigungen
Frage von IljuschinWindows Server8 Kommentare

Hallo zusammen, Ich habe da ein Problem / Frage und es ist nicht so einfach zu erklären, aber ich ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing7 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...