Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zur Benutzerverwaltungsdelegation im AD

Frage Microsoft Windows Userverwaltung

Mitglied: DerSauron

DerSauron (Level 1) - Jetzt verbinden

19.06.2008 um 14:14 Uhr, 2077 Aufrufe

Hallo,

ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:

Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.

Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.

Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.

Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?

So sieht mein AD-Baum aus:

  • Abteilung_A (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_A
  • Abteilung_B (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_B
  • Gruppen (OU)
    • SupportUser_A (Group)
    • SupportUser_B (Group)
    • Supportable (OU) - Schreibrecht auf Eigenschaft "members" von Gruppenobjekte durch SupportUser_A und SupportUser_B
      • Gruppe_G (Group)

Ich hoffe das war verständlich genug.

Grüße
Daniel
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkmanagement
gelöst Habe eine Frage zur Netzwerktechnik und zwei Switche? (6)

Frage von deadlef zum Thema Netzwerkmanagement ...

Backup
Backupkonzept gesucht, bzw. Frage zum Beispiel (9)

Frage von DeathNote zum Thema Backup ...

Netzwerkgrundlagen
gelöst Vpn FritzBox Synology Frage (7)

Frage von OsiMac zum Thema Netzwerkgrundlagen ...

Datenbanken
gelöst Frage zu Datenbanklayout (MSSql) (9)

Frage von theoberlin zum Thema Datenbanken ...

Heiß diskutierte Inhalte
DSL, VDSL
gelöst DSL 200m verlängern (15)

Frage von Angela44 zum Thema DSL, VDSL ...

LAN, WAN, Wireless
Per Script auf UniFi-controller zugreifen und WPA2-Key ändern (11)

Frage von Winfried-HH zum Thema LAN, WAN, Wireless ...

Windows Server
SBS 2011 Standard virtualisieren (11)

Frage von HeinrichM zum Thema Windows Server ...

Exchange Server
gelöst DHCP Sever MS Server 2012 Problem (10)

Frage von Florian86 zum Thema Exchange Server ...