none
Verwaltungs-Delegierung: Erstellung neuer Benutzer RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe gelesen, wie man Verwaltungsaufgaben an User delegieren kann.

    (Client und DC sind auf meinem Computer virtuelle Maschinen, die mit dem Host-Only-Modus miteinander verbunden sind; auf dem Windows 10-Client habe ich die Remote Server Administration Tools installiert.)

    Wenn ich nun auf dem Domain Controller einstelle, dass beispielsweise der Domain-User „Test01“ Kennwörter zurücksetzen kann, so funktioniert das auch, dass der Benutzer Test01 auf dem Client Kennwörter zurücksetzen kann.

    Wenn ich jedoch „Erstellt, entfernt und verwaltet Benutzerkonten“ für den User Test01 auswähle, so kann Test01 auf dem Client KEINE neuen Benutzer erstellen.

    Woran könnte das liegen?

    Viele Grüße

    Samstag, 15. April 2017 12:41
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Michael,

    Deine Frage ist schwer zu entschlüsseln. Ja man kann Rechte im AD delegieren. Das betrifft jedoch nur Objekte, die sich tatsächlich im AD befinden.
    Anders ausgedrückt: Rechte die über das AD delegiert werden, können auch nur Auswirkung auf Objekte innerhalb des AD haben.

    Ich vermute mal: Du möchtest eine Benutzer im AD (Test01), das Recht erteilen, lokale Benutzerkonten auf dem Client (Deinem Windows 10 Client) zu verwalten. Diese Berechtigung hat relativ wenig mit der Delegation von AD Rechten zu tun.

    Wenn meine Annahme korrekt ist, dann musst Du über eine Gruppenrichtlinie (Preference) den AD Benutzer "Test01" mit den notwendigen Berechtigungen auf Deinem Client ausstatten. Diese Einstellungen musst Du im Bereich Computereinstellungen umsetzen.

    Jeder Windows Rechner hat eine lokale Sicherheitskontendatenbank. Durch die Mitgliedschaft in einer Domäne vertraut ein Client der Sicherheitsdatenbank der Domänencontroller. Dadurch kann ein Benutzer der Domänensicherheitsdatenbank für die Anmeldung an einem Client verwendet werden. Die Delegierung von Rechten kann diese Grenze jedoch nicht überspringen.

    Kannst Du Deine Anforderung etwas genauer beschreiben?

    Gruß Malte

    Montag, 17. April 2017 18:49
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Vielen Dank für die rasche Antwort!

     

    Eine Delegierung macht es möglich, dass die Verwaltung von OUs (und deren Objekte) an Benutzer oder Gruppen weitergegeben wird; mit dem Ziel, dass dem Administrator Arbeit abgenommen wird, so muss sich der Administrator z.B. nicht um das Zurücksetzen von Kennwörtern kümmern.

     

    Ich bin folgendermaßen vorgegangen, um eine solche Delegierung einzurichten:

    Auf dem Domain Controller (auf dem Windows Server 2012 R2 installiert ist): „Assistent zum Zuweisen der Objektverwaltung“:

    die Konsole „Active Directory Benutzer und Computer“ öffnen,
    Klick mit rechter Maustaste auf OU, Objektverwaltung zuweisen,
    Benutzer oder Gruppe auswählen („Test01“), die zu delegierenden Berechtigungen auswählen (in diesem Fall „setzt Kennwörter zurück …“),
    Fertig stellen
    (einige Schritte, die man mit „weiter“ bestätigen muss, habe ich übersprungen)

    Nun möchte ich eine angepasste Verwaltungskonsole erstellen (ebenfalls auf dem Domain Controller):

    „mmc“ eingegeben,
    Active Directory-Benutzer und Computer-Snap-In starten,
    unter „Ansicht“ erweiterte Features einblenden,
    Klick mit rechter Maustaste auf OU,
    „Neue Aufgabenblockansicht“ auswählen,
    unter „Aufgabenblockwiederverwendung“ ausgewähltes Strukturelement auswählen,
    Name auswählen,
    Häkchen unter „Neue Aufgaben zu diesem Block hinzufügen …“ setzen,
    dies öffnet einen neuen Assistenten:

    „Assistent für neue Aufgabe“:

    „Menübefehl“ auswählen,
    Name für die angepasste Verwaltungskonsole auswählen,
    unter verfügbare Befehle „Kennwörter zurücksetzen …“,
    Fertig stellen Im Snap-In unter „Datei“  gehe ich auf „Datei speichern unter“

    (ich speichere die Konsole unter „Netzwerk“; somit habe ich über VMware Workstation darauf Zugriff, wenn auf den virtuellen Maschinen VMware Tools installiert sind und „Shared Folders“ „enabeld“ sind).

     

    Auf dem Client, einer virtuellen Maschine, auf der Windows 10 Enterprise installiert ist, öffne ich die erstellte Konsole:

    ich melde mich am Client als „Test01“ an, über das Netzwerk öffne ich die vorher erstellte Verwaltungskonsole, nun kann ich Kennwörter zurücksetzen (die Kennwörter für die Benutzer der OU, für die ich die Verwaltungsdelegierung eingerichtet habe)

     

    Auf dem Client sind die Remote Server Administration Tools installiert. DC und Client sind virtuelle Maschinen.

     

    Bis jetzt funktioniert alles, aber:

    Wenn ich die oben beschriebenen Schritte wiederhole und unter „Assistent zum Zuweisen der Objektverwaltung“ auf „Erstellt, entfernt und verwaltet Benutzerkonten“ statt „setzt Kennwörter zurück“ klicke, und eine neue angepasste Verwaltungskonsole erstelle und diese dem User über das Netzwerk zukommen lasse, dann kann der User (dem Rechte delegiert werden) KEINE neuen Benutzer erstellen.

    Woran könnte das liegen?

     

    Gruß Michael




    • Bearbeitet michael1545 Donnerstag, 20. April 2017 14:17 Format
    Donnerstag, 20. April 2017 14:11
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Michael,

    "Boah" & Respekt, das war ja mal eine ausführliche Antwort. Wollen wir das mal eingrenzen.

    Prüfe bitte die effektiven Rechte für TEST01 mit einem Admin Konto auf dem DC.
    Benutze bitte keine personalisierte MMC, sondern die normale ADUC MMC auf Deinem Client.

    Gruß Malte

    Donnerstag, 20. April 2017 17:39
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Malte,
    um die effektiven Rechte für TEST01 anzuzeigen, habe ich auf dem DC in "Benutzer und Computer" unter Domain Controllers den DC mit der rechten Maustaste angeklickt und auf Sicherheit, effektiver Zugriff geklickt:

    Inhalte auflisten
    Alle Eigenschaften lesen
    Berechtigungen lesen
    Kennwort ändern
    "DNS Hostnamenattribute" lesen
    "Kontobeschränkungen" lesen
    "MS-TS-GatewayAccess" lesen
    "öffentliche Informationen" lesen
    "Persönliche Informationen" lesen
    "Anzeigenamen (phonetisch)" lesen
    ...

    Wenn ich TEST01 auf dem DC Vollzugriff gewähre, kann ich auf dem Client (unter Active Directory-Benutzer und Computer) keine neuen Benutzer erstellen.
    Gruß Michael

    Freitag, 21. April 2017 07:30
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Michael,

    ich glaube da haben wir uns missverstanden. Nicht Vollzugriff auf der OU "Domain Controller" an Test01 erteilen. Das ist nicht notwendig und zusätzlich sicherheitsproblematisch. Bitte wieder zurück.

    Mit auf dem DC meinte ich: Melde Dich mit einem Domänen Admin am DC an und öffne dort ADUC und prüfe die effektiven Rechte für den Benutzer Test01 auf der Organisationseinheit, die Du an Benutzer Test01 delegieren möchtest.

    Gruß Malte


    Freitag, 21. April 2017 08:39
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Malte,

    Bin ich richtig vorgegangen?:
    habe mich am DC mit dem Administrator-Account angemeldet, die ADUC geöffnet, mit rechter Maustaste auf die OU geklickt, Sicherheit, Erweitert, Effektiver Zugriff, Benutzer "Benutzer01" auswählen, Effektiven Zugriff anzeigen:

    folgende Rechte:
    Inhalt auflisten,
    Alle Eigenschaften lesen,
    Berechtigungen lesen,
    "Benutzer"-Objekte erstellen,
    "Benutzer"-Objekte löschen,
    adminDescription lesen,
    und einige weitere

    (die übrigen Berechtigungen sind durch Objektberechtigungen eingeschränkt)
    Gruß Michael

    Samstag, 22. April 2017 09:03
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Michael,

    ja genau so. Jetzt stellt sich die Frage ob Du versucht mit Test01 ein Benutzerobjekt direkt in der delegierten OU zu erstellen oder in einer OU darunter?

    Zusätzlich würde ich mal die Standard MMC verwenden, keine angepasste. Erst wenn es mit der Standard MCC funktioniert, dann kann man sich an eine benutzerdefinierte MMC wagen.

    Gruß Malte

    Samstag, 22. April 2017 10:48
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Malte,

    habe versucht, einen neuen Benutzer direkt in der OU anzulegen in Standard MMC.

    Gruß Michael


    Samstag, 22. April 2017 11:05
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Michael,

    ich bin langsam am Ende meiner Möglichkeiten.
    Was hat nicht funktioniert?
    hast Du umgesetzt?
    https://technet.microsoft.com/en-us/library/dd145344(v=ws.11).aspx

    https://social.technet.microsoft.com/wiki/contents/articles/21061.how-to-extend-the-delegation-of-control-wizard-templates-in-active-directory-users-and-computers.aspx

    Bisher hat bei uns die Delegierung von Rechten im AD immer sehr gut funktioniert.

    Reden wir aneinander vorbei?

    Gruß Malte

    Samstag, 22. April 2017 19:31
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Malte,

    bitte vielmals um Entschuldigung, dass ich erst jetzt zurückschreibe.
    Ich wollte an einen User das Recht delegieren, neue Benutzer in ADUC zu erstellen.
    Nun bin ich draufgekommen, dass es funktioniert hat, wenn auf dem Client Windows 8.1 läuft (auf dem Client, auf dem sich der Benutzer01 anmeldet).
    Wenn auf dem Client, auf dem sich Benutzer01 anmeldet, Windows 10 läuft, kann Benutzer01 KEINE User erstellen. Der Grund dafür ist, dass Windows 10 in der Full Release vorliegen muss (nicht in der Testversion wie bei mir); wenn man unter Microsoft in die "Install Instructions" schaut, kann man folgendes lesen: You can install Remote Server Administration Tools for Windows 10 only on the full release of Windows 10 Professional or Windows 10 Enterprise.
    Unter Windows 8.1 ist dies nicht der Fall, daher kann Benutzer01 auf dem Windows-8.-Client neue Benutzer erstellen.

    Gruß Michael

    Donnerstag, 27. April 2017 15:57
    |
  • Discussion
    Anmelden
    1
    Anmelden

    > Wenn ich jedoch „Erstellt, entfernt und verwaltet Benutzerkonten“ für den User Test01 auswähle, so kann Test01 auf dem Client KEINE neuen Benutzer erstellen.

    Wenn Du lokale Benutzer auf Clients erstellen willst, mußt Du dort immer noch lokaler Administrator sein. Daran hat sich nichts geändert seit NT4 :-)

    Dienstag, 9. Mai 2017 10:17
    |
  • Discussion
    Anmelden
    1
    Anmelden

    > You can install Remote Server Administration Tools for Windows 10 only on the full release of Windows 10 Professional or Windows 10 Enterprise.

    Hm... Ohne RSAT gibt es aber in der MMC auch keine Active Directory Benutzer und Computer - und die hast Du gemäß einem vorhergehenden Post doch benutzt... Oder nicht?

    Dienstag, 9. Mai 2017 10:19
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Wenn ich "Active Directory - Benutzer und Computer" unter Windows 10 Build 10586 starte, kann ich keine Benutzer hinzufügen, obwohl dieses Recht delegiert worden ist.
    Unter Windows 10 Build 15063-release.170317-1834 funktioniert es schon; beides sind virtuelle Maschinen.
    Voran könnte das liegen, bzw. könntest du über TeamViewer auf meinen Computer zugreifen?

    Sonntag, 21. Mai 2017 15:14
    |