Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriff auf Active Directory Benutzer und Computer ermöglichen ohne den Benutzer in die Gruppe Domäne Administratoren hinzuzufügen?

Frage Microsoft Windows Userverwaltung

Mitglied: pressluft

pressluft (Level 1) - Jetzt verbinden

03.07.2013 um 14:44 Uhr, 6776 Aufrufe, 11 Kommentare

Hallo zusammen,

ich möchte einem Benutzer den Zugriff auf "Active Directory-Benutzer und -Computer" ermöglichen ohne dass ich diesem Domäne Administratoren Rechte zuweise.

Welche Gruppe hat hierauf Einsicht? Ein lesender Zugriff wäre in meinem Fall völlig ausreichend.

Der Domain Controller ist ein Windows Server 2008 R2.
Mitglied: DerWoWusste
03.07.2013, aktualisiert um 14:56 Uhr
Hi.

Jeder hat bereits Lesezugriff. Du kannst in der Netzwerkumgebung mal den Knopf "Active Directory durchsuchen" nutzen und Dir die Gruppe/den User/den Computer, den Du suchst anzeigen lassen.
Was willst Du genau?

Das Zauberwort für mehr als nur das lautet "delegation of privilege" und kann über das Paket RSAT komfortabel erreicht werden.
Bitte warten ..
Mitglied: departure69
03.07.2013, aktualisiert um 15:14 Uhr
Hallo.

Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.

Die Dinger heissen "angepasste Taskpadansicht", werden aus einer bestehenden (auch schon angepassten) MMC heraus erstellt, und Microsoft hat auch einen Artikel dazu veröffentlicht: http://support.microsoft.com/kb/321143/de. Dieser Artikel ist für Win2K, sollte aber noch immer auch in höheren Windows-Versionen funktionieren.

Wenn aus dem Artikel nicht alles hervorgeht, was dazu wissen mußt und möchtest, bringt Dir Google weitere Ergebnisse durch die Suchbegriffe "Taskpadansicht MMC": https://www.google.de/search?q=angeapstte+taskpad+ansicht+erstellen& ....

Grüße
Bitte warten ..
Mitglied: pressluft
03.07.2013 um 15:21 Uhr
Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde und dann "Active Directory-Benutzer und -Computer" starten möchte meldet sich die Benutzerkontensteuerung. Mit den Anmeldedaten des angemeldeten Benutzers komme ich darüber nicht hinaus.
Ich hatte dies so gedeutet, dass nicht ausreichend Rechte vorhanden wären um auf die Inhalte der mmc zuzugreifen?!

Der Zugriff via RSAT scheitert leider daran, dass der verwendete Client noch Windows XP Pro als Betriebssystem verwendet. Daher hatte ich gehofft eine Anmeldung am Domain Controller per RDP, allerdings mit eingeschränkten Rechten, ermöglichen zu können.
Bitte warten ..
Mitglied: SlainteMhath
03.07.2013 um 15:24 Uhr
Moin,

@departure69:
Es wäre falsch, sogar fatal, einem "normalen" User das "ganze" Snap-In "AD Benutzer und Computer" in
die Hand zu geben. Für solche Zwecke gibt es "abgespeckte" Ansichten dieses Snap-Ins.
Welche geheimen Information würde denn ein User mit Leserechten dem Snap-In entnehmen können die er nicht auch über die von @DerWoWusste beschriebene Suche und/oder der Netzwerkumgebung bzw dem Outlook/Exchange Adressbuch einsehen kann?

lg + auf die Antwort gespannt,
Slainte
Bitte warten ..
Mitglied: SlainteMhath
03.07.2013 um 15:29 Uhr
Zitat von pressluft:
Wenn ich mit meinem NICHT-Domäne-Admin Benutzer auf dem Domain Controller per RDP anmelde
Das sollte ein "normaler" User gar nicht können. Login (lokal oder per RDP) am DC sollte nur den (Doomain)Admins erlaubt sein. Alles andere ist sicherheitstechnisch eine Katastrophe.
Bitte warten ..
Mitglied: DerWoWusste
03.07.2013 um 15:30 Uhr
Also dafür eine Anmeldung per RDP ist nicht gut. Sag doch mal was zu den von mir genannten Möglichkeiten neben RSAT. (Statt rsat gab es auf xp das adminpak.msi).
Bitte warten ..
Mitglied: departure69
03.07.2013, aktualisiert um 15:57 Uhr
@SlainteMhath:

Hallo.

Über die Suche im AD kriegt er nur das, was er sucht. Also mithin stets nur eine Momentaufnahme, die eingeschränkt ist auf das, was er gesucht hat, nämlich das einzelne Suchergebnis. Geht es den "normalen" User etwas an, wie das AD strukturiert ist? Wie die Container und OUs angelegt sind? Soll er wirklich gemütlich und nacheinander, ohne jedesmal die Suche bemühen zu müssen, alle Gruppenmitgliedschaften einsehen können? Vielleicht ja. Ich würde das in den von mir betreuten ADs nur ausgesuchten, per Unterschrift rechtsverpflichteten (was darf er, was geht ihn nichts an?) Benutzern geben. Und auch denen nur mit einer von mir angepaßten Taskpadansicht.

Grüße
Bitte warten ..
Mitglied: DerWoWusste
03.07.2013, aktualisiert um 16:47 Uhr
Du sprachst ja davon, dass es "fatal" wäre. Dass er einen Einblick in Strukturen erhält, ist von MS so gewollt. Man kann die Suchergebnisanzahl per GPO beschränken oder auf Null setzen, aber wird das auch andere LDAP-Browsingtools stoppen? Ich glaube nicht, dass das geht, insofern: es ist nachvollziehbar, wenn Du Dich daran störst, aber was daran ist "fatal"?
Bitte warten ..
Mitglied: SlainteMhath
03.07.2013 um 16:00 Uhr
@departure69
Naja, kommt natürlich immer auf das individuelle Sicherheitsbedürfniss an, aber im allgemeinen gehören Gruppenmitgliedschaften und Aufbau der AD nicht zu den Betriebsgeheimnissen.
Und wenn doch, dann hilft eh nur eine steingende Rechtevergabe innerhalb des AD, sonst kann der Interessierte Hobbyspion auch jederzeit dsquery, dsget oder eine LDAP Browser seiner Wahl bemühen.
Bitte warten ..
Mitglied: jsysde
03.07.2013, aktualisiert um 16:02 Uhr
Mahlzeit.

Lesender Zugriff reicht aus?
Verknüpfung erstellen zu
%windir%\system32\rundll32.exe dsquery,OpenQueryWindow
und z.B. als "Search AD" auf dem User-Desktop ablegen.

Cheers,
jsysde
Bitte warten ..
Mitglied: pressluft
03.07.2013 um 16:36 Uhr
Ich danke euch für die zahlreichen Antworten.
Ich habe mein Anliegen mithilfe des "adminpak.msi" gelöst.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Active Directory Domäne und Druckserver (8)

Frage von haashaasp zum Thema Windows Server ...

Linux Userverwaltung
OwnCloud : neues Active Directory : gleiche AD Benutzer : neue ownCloud Benutzer (5)

Frage von ThePcSwagTogether zum Thema Linux Userverwaltung ...

Windows Server
gelöst (Active Directory) Konto vom Benutzer wird sofort wieder gesperrt (9)

Frage von Sachellen zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...