Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff auf Active Directory Benutzer und Computer ermöglichen ohne den Benutzer in die Gruppe Domäne Administratoren hinzuzufügen?

Frage Microsoft Windows Userverwaltung

Mitglied: pressluft

pressluft (Level 1) - Jetzt verbinden

03.07.2013 um 14:44 Uhr, 8308 Aufrufe, 11 Kommentare

Hallo zusammen,

ich möchte einem Benutzer den Zugriff auf "Active Directory-Benutzer und -Computer" ermöglichen ohne dass ich diesem Domäne Administratoren Rechte zuweise.

Welche Gruppe hat hierauf Einsicht? Ein lesender Zugriff wäre in meinem Fall völlig ausreichend.

Der Domain Controller ist ein Windows Server 2008 R2.
Mitglied: DerWoWusste
03.07.2013, aktualisiert um 14:56 Uhr
Hi.

Jeder hat bereits Lesezugriff. Du kannst in der Netzwerkumgebung mal den Knopf "Active Directory durchsuchen" nutzen und Dir die Gruppe/den User/den Computer, den Du suchst anzeigen lassen.
Was willst Du genau?

Das Zauberwort für mehr als nur das lautet "delegation of privilege" und kann über das Paket RSAT komfortabel erreicht werden.
Bitte warten ..
Mitglied: departure69
03.07.2013, aktualisiert um 15:14 Uhr
Hallo.

Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.

Die Dinger heissen "angepasste Taskpadansicht", werden aus einer bestehenden (auch schon angepassten) MMC heraus erstellt, und Microsoft hat auch einen Artikel dazu veröffentlicht: http://support.microsoft.com/kb/321143/de. Dieser Artikel ist für Win2K, sollte aber noch immer auch in höheren Windows-Versionen funktionieren.

Wenn aus dem Artikel nicht alles hervorgeht, was dazu wissen mußt und möchtest, bringt Dir Google weitere Ergebnisse durch die Suchbegriffe "Taskpadansicht MMC": https://www.google.de/search?q=angeapstte+taskpad+ansicht+erstellen& ....

Grüße
Bitte warten ..
Mitglied: pressluft
03.07.2013 um 15:21 Uhr
Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde und dann "Active Directory-Benutzer und -Computer" starten möchte meldet sich die Benutzerkontensteuerung. Mit den Anmeldedaten des angemeldeten Benutzers komme ich darüber nicht hinaus.
Ich hatte dies so gedeutet, dass nicht ausreichend Rechte vorhanden wären um auf die Inhalte der mmc zuzugreifen?!

Der Zugriff via RSAT scheitert leider daran, dass der verwendete Client noch Windows XP Pro als Betriebssystem verwendet. Daher hatte ich gehofft eine Anmeldung am Domain Controller per RDP, allerdings mit eingeschränkten Rechten, ermöglichen zu können.
Bitte warten ..
Mitglied: SlainteMhath
03.07.2013 um 15:24 Uhr
Moin,

@departure69:
Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in
die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.
Welche geheimen Information würde denn ein User mit Leserechten dem Snap-In entnehmen können die er nicht auch über die von @DerWoWusste beschriebene Suche und/oder der Netzwerkumgebung bzw dem Outlook/Exchange Adressbuch einsehen kann?

lg + auf die Antwort gespannt,
Slainte
Bitte warten ..
Mitglied: SlainteMhath
03.07.2013 um 15:29 Uhr
Zitat von pressluft:
Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde
Das sollte ein "normaler" User gar nicht können. Login (lokal oder per RDP) am DC sollte nur den (Doomain)Admins erlaubt sein. Alles andere ist sicherheitstechnisch eine Katastrophe.
Bitte warten ..
Mitglied: DerWoWusste
03.07.2013 um 15:30 Uhr
Also dafür eine Anmeldung per RDP ist nicht gut. Sag doch mal was zu den von mir genannten Möglichkeiten neben RSAT. (Statt rsat gab es auf xp das adminpak.msi).
Bitte warten ..
Mitglied: departure69
03.07.2013, aktualisiert um 15:57 Uhr
@SlainteMhath:

Hallo.

Über die Suche im AD kriegt er nur das, was er sucht. Also mithin stets nur eine Momentaufnahme, die eingeschränkt ist auf das, was er gesucht hat, nämlich das einzelne Suchergebnis. Geht es den "normalen" User etwas an, wie das AD strukturiert ist? Wie die Container und OUs angelegt sind? Soll er wirklich gemütlich und nacheinander, ohne jedesmal die Suche bemühen zu müssen, alle Gruppenmitgliedschaften einsehen können? Vielleicht ja. Ich würde das in den von mir betreuten ADs nur ausgesuchten, per Unterschrift rechtsverpflichteten (was darf er, was geht ihn nichts an?) Benutzern geben. Und auch denen nur mit einer von mir angepaßten Taskpadansicht.

Grüße
Bitte warten ..
Mitglied: DerWoWusste
03.07.2013, aktualisiert um 16:47 Uhr
Du sprachst ja davon, dass es "fatal" wäre. Dass er einen Einblick in Strukturen erhält, ist von MS so gewollt. Man kann die Suchergebnisanzahl per GPO beschränken oder auf Null setzen, aber wird das auch andere LDAP-Browsingtools stoppen? Ich glaube nicht, dass das geht, insofern: es ist nachvollziehbar, wenn Du Dich daran störst, aber was daran ist "fatal"?
Bitte warten ..
Mitglied: SlainteMhath
03.07.2013 um 16:00 Uhr
@departure69
Naja, kommt natürlich immer auf das individuelle Sicherheitsbedürfniss an, aber im allgemeinen gehören Gruppenmitgliedschaften und Aufbau der AD nicht zu den Betriebsgeheimnissen.
Und wenn doch, dann hilft eh nur eine steingende Rechtevergabe innerhalb des AD, sonst kann der Interessierte Hobbyspion auch jederzeit dsquery, dsget oder eine LDAP Browser seiner Wahl bemühen.
Bitte warten ..
Mitglied: jsysde
03.07.2013, aktualisiert um 16:02 Uhr
Mahlzeit.

Lesender Zugriff reicht aus?
Verknüpfung erstellen zu
%windir%\system32\rundll32.exe dsquery,OpenQueryWindow
und z.B. als "Search AD" auf dem User-Desktop ablegen.

Cheers,
jsysde
Bitte warten ..
Mitglied: pressluft
03.07.2013 um 16:36 Uhr
Ich danke euch für die zahlreichen Antworten.
Ich habe mein Anliegen mithilfe des "adminpak.msi" gelöst.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Administrator ist Mitglied der Gruppe Domänen-Benutzer?
Frage von maxpointWindows Userverwaltung12 Kommentare

Hallo Ich bin gerade auf den Umstand gestoßen, dass der Administrator Mitglied der Sicherheitsgruppe Domänen-Benutzer ist. Das Problem, ich ...

Batch & Shell
Powershell alle Active Directory Gruppen auslesen mit enthaltenen Benutzern
Frage von Berti1Batch & Shell6 Kommentare

Hallo, bin PS Neuling und wir benötigen hier eine Auswertung von unseren Gruppen inkl. Anwender. Aufgabenstellung: Alle Berechtigungsgruppen auslesen ...

Windows Userverwaltung
Domänen Administrator Kennwort im Active Directory ändern. Wie?
gelöst Frage von Xinu32Windows Userverwaltung5 Kommentare

Hallo zusammen, ich würde gerne das Domänen Administrator Kennwort auf unserem Windows 2003 Domänencontroller ändern. Wo mache ich das ...

Windows Userverwaltung
Active Directory Migration von Benutzern
gelöst Frage von JimPietWindows Userverwaltung8 Kommentare

Moin, wir wollen einige unserer ADs loswerden und die User/PCs/Gruppen etc in die primäre Domäne migrieren. Es handelt sich ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell18 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Windows 10
Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App
Tipp von kgbornWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...