none
AD Delegierung zur Verwaltung von OUs - Ersteller der OU hat Vollzugriff RRS feed

  • Frage

  • Hallo Zusammen,

    ich habe durch Delegierungen eine Reihe von administrativen Berechtigungen innerhalb des Active Directorys delegiert.

    Bestimmte Gruppen durfen nur Benutzer anlegen und Gruppenmitgliedschaften verwalten.

    Andere Benutzer durfen lediglich Kennworte zurücksetzen und Konten aktivieren...

    etc.

    --> Nun habe ich die Aufgabe "Anlegen und Verwalten von Organisationseinheiten" delegiert.

    Das funktioniert im Grunde wie gewünscht: Bestimmte Benutzer dürfen OUs anlegen, andere Benutzer dürfen OUs anlegen, ändern und löschen...

    Nun verhält es sich jedoch so, dass, wenn ein Benutzer eine OU anlegt, er auch der Besitzer der OU ist. Dadruch ist es ihm möglich, sich selbst alle möglichen Rechte unterhalb dieser OU zu geben. Dadruch kann diese Benutzer theoretisch alle Einschränkungen umgehen, zumindest ab der OU, die er selbst erstellt hat... !!

    Wie kann ich das verhindern?

    Selbst wenn ich "Berechtigung ändern" verweigere hat der Ersteller der OU das Recht, die Berechtigungen zu ändern...

    Bin über jeden Hinweis dankbar.

    Viele Grüße


    Mittwoch, 10. Dezember 2014 13:35

Antworten

Alle Antworten

  • Hi

    Ich verstehe zwar nicht ganz genau warum Du das machen möchtest aber ich denke Du kannst auf der entsprechenden OU auf , Properties, Security, Advanced und dann den Owner wechseln.

    Gruss Dani

    Mittwoch, 10. Dezember 2014 15:18
  • Ich möchte administrative Aufgaben delegieren, um die inflationäre Verwendung der Gruppe "Domänen Admins" zu vermeiden.

    Das habe ich bei uns schon vor einigen Jahren umgesetzt für einfach Hotline Mitarbeiter, nun haben wir aber die Verwendung von "Domänen Admins" noch weiter eingeschränkt (Vorgabe vom Vorstand), so dass auch Kollegen, die neben Computer und Benutzerverwaltung auch mal OUs anlegen, verwalten oder löschen sollen, nicht gleich unbedingt "Domänen-Admin" sein müssen.

    Security Security Security - es gibt keinen Grund, diese sehr mächtige Gruppe zu vergeben, um einfache Alltagsaufgaben zu erldigen. Das ist in größeren Umgebungen Best Practise...

    Zu Deinem Lösungvorschlag: Da wir aber eine größere Truppe sind kann ich nicht bei jeder OU händisch den Besitzer nachbessern.

    Das muss doch anders gehen?

    Default Besitzer festlegen? Berechtigungen auf ERSTELLER (etc) neusetzen?

    Wie kann das gehen?

    Mittwoch, 10. Dezember 2014 15:31
  • kenn ich solche Anforderungen.. Bei uns haben nur 2 Personen Berechtigungen OU's zu erstellen, diese sind zugleich Domain Admins.

    Was Du machen könntest ist mittels PowerShell Script alle OU's auslesen und einen "Default" Owner setzen. Dies lässt Du dann regelmässig laufen... was besseres fällt mir dazu auf die Schnelle auch nicht ein. Meiner Meinung nach, da kann ich mich aber auch täuschen ist diejenige Person die ein Objekt erstellt, egal welches immer der Owner. Das lässt sich, so glaube ich nicht umgehen.

    Gruss

    Mittwoch, 10. Dezember 2014 15:40
  • Das mit der PS wäre eine Idee... werde ich mal aufnehmen und als potenzielle Lösung markieren. Dank Dir.
    Mittwoch, 10. Dezember 2014 15:45
  • Verwende "Owner Rights"-SID (2008 and up)

    Das ist dafür gemacht.

    http://technet.microsoft.com/de-de/library/dd125370%28v=ws.10%29.aspx

    Auf deutsch "EIGENTÜMERRECHTE" - groß geschrieben, zumindest das Ü.

    "eigentÜmerechte" geht auch :)

    Freitag, 12. Dezember 2014 16:38