none
Auflisten der Domänenbenutzer und Gruppen verhindert

    Question

  • Ich beschäftige mich gerade mit dem delegieren von Gruppenmietgliedschaftsadministration an normale Nutzer.

    Der Grundgedanke den ich hege ist folgender:
    - Ich delegiere die Benutzergruppenverwaltung an Abteilungsleiter
    - Der Abteilungsleiter bekommt eine vorbetreitete MMC mit benutzerdefinierten Abfragen(Dazu werden die Adminpacks auf den Rechnern installiert)

    Nun hatte ich das Problem: Alle Nutzer haben standardmäßig Rechte zum auflisten und zum lesen der Domänenmitglieder. Durch die MMC sind nun diese Informationen sehr einfach offengelegt. Das sollte aber nicht sein. Der Nutzer soll nicht alle AD Accounts durchstöbern können.
    Meine Reaktion war:

    - lesen können muss der Nutzer
    - auflisten jedoch nicht. Also nahm ich dem Domänen-Benutzer die Rechte zum auflisten auf dem Testknoten der Testdomäne contoso.com (ja, arbeite auch gerade an die Bücher durch, daher stammt auch die Idee)

    Warum nicht auflisten?
    Anfragen von Programmen und dem System geschehen über den Nutzer Account, bzw seine SID, und nicht über das durchsuchen aller möglichen Nutzer. Domänen-Admins sind zum verwalten da und nicht die Domänen-Benutzer.

    Jetzt denke ich über echte Umgebungen nach und ob es doch Wechselwirkungen geben kann?
    Ist dieser Gedankenansatz zur Nutzerbasierten Administration sinnvoll, oder habt ihr bessere Vorschläge. Es wirkt mir doch etwas zusammengeschustert.

    Thursday, March 31, 2011 5:14 PM

Answers

All replies

  •  Das sollte aber nicht sein. Der Nutzer soll nicht alle AD Accounts durchstöbern können.

    Hallo,

    mit durchstöbern meinst du das Lesen der einzelnen Attribute?
    Oder nur das Auflisten welche Benutzer es gibt?

    Die Rechte auf den einzelnen Attributen lassen sich bestimmen:
    http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory,Objektverwaltung.aspx

    • Marked as answer by _Any Key Thursday, March 31, 2011 8:34 PM
    Thursday, March 31, 2011 5:26 PM
  • Vielen Dank für den Hinweis. Die Berechtigungssache ist nun besser verstanden, die Delegierung verinnerlicht.

    Es blieb das Problem der Bereitstellung für den Vertriebsleiter.
    Wie stelle ich eine möglichst unkomplizierte Oberfläche zur Verfügung konnte dann über die MMC gelöst werden. Hier bekommen die Leute ihre eigene Ansicht, in der sie verwalten dürfen.

    Somit ist die Gruppenmitgliedschaft für den Verwalter nur einen Klick entfernt. Die Attribute können sie nun gern sehen, jedoch nicht verändern.

    Zukünftig werde ich wohl auch dsacls verwenden, wie es auf Yusufs Seite erwähnt wurde. Es macht an solchen Punkten einfach mehr Sinn. Ich stelle fest: geklickt ist schnell. Da bremst die CMD doch etwas im Handeln und sie lässt sich wesentlich besser dokumentieren.

    Thursday, March 31, 2011 8:34 PM