Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zur Benutzerverwaltungsdelegation im AD

Frage Microsoft Windows Userverwaltung

Mitglied: DerSauron

DerSauron (Level 1) - Jetzt verbinden

19.06.2008 um 14:14 Uhr, 2083 Aufrufe

Hallo,

ich möchte die Benutzerverwaltung (Benutzer anlegen, Benutzer sperren, Kennwort zurücksetzten und Gruppenzugehörigkeit ändern) an nicht Domain-Admins (ich nenne sie mal Supportbenutzer) delegieren. Dabei ist mir folgendes aufgefallen:

Um die Gruppenzugehörigkeit eines Benutzers ändern zu können, benötigt man für die Gruppe, in die der Benutzer gesteckt werden soll, auf die Eigenschaft "members" Schreibrechte.
Darüber hinaus sollen bestimmt Supportbenutzer nur bestimmte Benutzer verwalten dürfen. Das lässt sich ja einfach durch Ordnungseinheiten lösen.
Und es soll für alle Supportbenutzer möglich sein "ihre" Benutzer einer globalen Gruppe G zuzuordnen.

Ich habe also den Supportbenutzern Vollzugriff auf die Benutzerobjekte ihrer OU gegeben und zusätzlich auf die globale Gruppe G das Recht die Eigenschaft "members" zu ändern.

Mein Problem ist nun, dass Supportbenutzer A zwar richtigerweise nur Zugriff auf seine Benutzer hat aber sobald er die Eigenschaften der Gruppe G öffnet, alle anderen Benutzer aus der Domäne auch zu Mitgliedern dieser Gruppe machen darf.

Läßt sich dieses Szenario anders konfigurieren, dass dies nicht passiert, oder habe ich einen generellen Denkfehler in meiner Planung?

So sieht mein AD-Baum aus:

  • Abteilung_A (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_A
  • Abteilung_B (OU) - Vollzugriff auf Benzterobjekte durch Gruppe SupportUser_B
  • Gruppen (OU)
    • SupportUser_A (Group)
    • SupportUser_B (Group)
    • Supportable (OU) - Schreibrecht auf Eigenschaft "members" von Gruppenobjekte durch SupportUser_A und SupportUser_B
      • Gruppe_G (Group)

Ich hoffe das war verständlich genug.

Grüße
Daniel
Ähnliche Inhalte
Samba
Samba AD V 4.3.11-Ubuntu (Frage zu Best-Practice) (7)

Frage von Belephor zum Thema Samba ...

Windows Userverwaltung
Mit Powershell am AD Controller die aktiven Usersessions auslesen (1)

Frage von arduino zum Thema Windows Userverwaltung ...

Windows Userverwaltung
Lokale User Passworte im AD - Best Practice (9)

Frage von Der-Phil zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (15)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

iOS
16 iPads zentrall verwalten (14)

Frage von simonlohr zum Thema iOS ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (12)

Frage von Matsushita zum Thema Microsoft Office ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (12)

Frage von sysbone zum Thema Zusammenarbeit ...