Remove From My Forums

Eingeschränkter Domänen-Admin

Frage
0

Anmelden

Hallo zusammen,

ich möchte einer Aushilfe Berechtigungen geben, um die täglich anfallenden Verwaltungsaufgaben bearbeiten zu können (gesperrte User freigeben, User anlegen, Computerkonten erstellen...). Dieser Account soll allerdings auf einige OUs bzw. User keinen schreibenden Zugriff erhalten, sich selbst beispielsweise nicht in die globale Gruppe Buchhaltung aufnehmen können, Kennwörter der GL resetten etc.

Wie gehe ich dabei am besten vor?

Der Versuch, diesen Account in die Gruppe "Domänen-Admins" aufzunehmen (Vollzugriff auf alle OUs) und dann auf eine domänenlokale Gruppe (in der er ebenfalls Mitglied ist) Verweigern-Rechte für die entsprechende OU zu setzen, greift nicht. Habe ich einen Denkfehler?

Jede OU per "Objektverwaltung zuweisen" anzupassen wird komplex, da durch Unter-OUs und die dadurch notwendige Brechung der Vererbung ein kaum zu durchblickendes Konstrukt entsteht.

Danke schonmal...

Tom

Dienstag, 1. Juni 2010 13:29

Antworten

|

Zitieren

Antworten

0

Anmelden
Hi Tom,

versuch es mit delegation.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung_speziell.htm

Gruß

Viktor
Wer aufgehört hat besser werden zu wollen, hat aufgehört gut zu sein...
- Als Antwort markiert Andrei TalmaciuModerator Dienstag, 8. Juni 2010 08:03
Dienstag, 1. Juni 2010 13:52

Antworten

|

Zitieren
0

Anmelden
Hi,

Am 01.06.2010 15:29, schrieb Kirchtom:
ich möchte einer Aushilfe Berechtigungen geben, um die täglich
anfallenden Verwaltungsaufgaben bearbeiten zu können [...]
Wie gehe ich dabei am besten vor?
Eigene OU und darin die zu verwaltenden Objekte.

Best Practices for Delegating Active Directory Administration
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&;displaylang=en

Einige Beispiele:
http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung.htm
http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung_speziell.htm

> Jede OU per "Objektverwaltung zuweisen" anzupassen wird komplex, da
> durch Unter-OUs und die dadurch notwendige Brechung der Vererbung ein
> kaum zu durchblickendes Konstrukt entsteht.

Dann ist dein AD Design unglücklich gewählt und ein Re-Design ist
fällig.

Man baut sein AD auf GAR KEINEN FALL nach dem ISO9001 Organigram auf ;-)
sondern nach Delegation, Veraltung und Gruppenrichtlinien.
Alle anderen Kriterien sind nur optische Schönheitsmerkmale, aber von
der Grundidee ist ein Benzter ein Benutzer, egal ob er in der Verwaltung
oder im Lager arbeitet. Das bildet das AD nicht ab, wozu auch.
Für Zuordnungen der GPOs oder anderer Unterschiede gibt es diverse
Filtermöglichkeiten, da braucht es kein starres Konzept der OU Struktur.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
- Als Antwort markiert Andrei TalmaciuModerator Dienstag, 8. Juni 2010 08:03
Dienstag, 1. Juni 2010 13:58

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Hi Tom,

versuch es mit delegation.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung_speziell.htm

Gruß

Viktor
Wer aufgehört hat besser werden zu wollen, hat aufgehört gut zu sein...
- Als Antwort markiert Andrei TalmaciuModerator Dienstag, 8. Juni 2010 08:03
Dienstag, 1. Juni 2010 13:52

Antworten

|

Zitieren
0

Anmelden
Hi,

Am 01.06.2010 15:29, schrieb Kirchtom:
ich möchte einer Aushilfe Berechtigungen geben, um die täglich
anfallenden Verwaltungsaufgaben bearbeiten zu können [...]
Wie gehe ich dabei am besten vor?
Eigene OU und darin die zu verwaltenden Objekte.

Best Practices for Delegating Active Directory Administration
http://www.microsoft.com/downloads/details.aspx?familyid=631747a3-79e1-48fa-9730-dae7c0a1d6d3&;displaylang=en

Einige Beispiele:
http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung.htm
http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung_speziell.htm

> Jede OU per "Objektverwaltung zuweisen" anzupassen wird komplex, da
> durch Unter-OUs und die dadurch notwendige Brechung der Vererbung ein
> kaum zu durchblickendes Konstrukt entsteht.

Dann ist dein AD Design unglücklich gewählt und ein Re-Design ist
fällig.

Man baut sein AD auf GAR KEINEN FALL nach dem ISO9001 Organigram auf ;-)
sondern nach Delegation, Veraltung und Gruppenrichtlinien.
Alle anderen Kriterien sind nur optische Schönheitsmerkmale, aber von
der Grundidee ist ein Benzter ein Benutzer, egal ob er in der Verwaltung
oder im Lager arbeitet. Das bildet das AD nicht ab, wozu auch.
Für Zuordnungen der GPOs oder anderer Unterschiede gibt es diverse
Filtermöglichkeiten, da braucht es kein starres Konzept der OU Struktur.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
- Als Antwort markiert Andrei TalmaciuModerator Dienstag, 8. Juni 2010 08:03
Dienstag, 1. Juni 2010 13:58

Antworten

|

Zitieren
0

Anmelden

Servus,

die Kollegen haben es dir ja schon genannt, das "richtige" OU-Design zu wählen und die Delegierung zu nutzen.
Ich wollte dich darauf hinweisen, die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Das lässt sich zum einen leicht dokumentieren (was du in jedem Fall tun solltest) und zum anderen, kannst du die Delegierung mit dem Tool rückgängig machen.

Schau dich noch auf der folgenden Seite um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cObjektverwaltung.aspx

Viele Grüße aus Mainz
Yusuf Dikmenoglu - Microsoft MVP - Directory Services
Blog: LDAP://Yusufs.Directory.Blog/

Dienstag, 1. Juni 2010 15:30

Antworten

|

Zitieren

Moderator
0

Anmelden

Moin,

Am 01.06.2010 17:30, schrieb Yusuf Dikmenoglu:
Ich wollte dich darauf hinweisen, die Delegierung mit dem
> Kommandozeilentool DSACLS durchzuführen.

Dann hat sich auch das Problem mit der Vererbung erledigt, da
man das im Script realisieren lann.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Dienstag, 1. Juni 2010 16:36

Antworten

|

Zitieren
0

Anmelden

Das "Problem" mit der Vererbung würde sich sicherlich mit dem passenden OU-Design von selbst erledigen.
Aber ja, auch das kann man mit DSACLS erledigen.
Viele Grüße aus Mainz
Yusuf Dikmenoglu - Microsoft MVP - Directory Services
Blog: LDAP://Yusufs.Directory.Blog/

Dienstag, 1. Juni 2010 17:16

Antworten

|

Zitieren

Moderator
0

Anmelden

Am 01.06.2010 19:16, schrieb Yusuf Dikmenoglu:
Das "Problem" mit der Vererbung würde sich sicherlich mit
> dem passenden OU-Design von selbst erledigen.

... wenn du auf der "grünen Wiese" anfängst ;-)

Aber ja, auch das kann man mit DSACLS erledigen.
es ging um die vielen vorhandenen Objekte unterhalb, die man
mit einer Schleife dann zum erben bringen kann.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Dienstag, 1. Juni 2010 18:11

Antworten

|

Zitieren
0

Anmelden

>> dem passenden OU-Design von selbst erledigen.
> ... wenn du auf der "grünen Wiese" anfängst ;-)

Ach woher. Ich mach das auch auf einer vertrockneten Wiese, kein Problem. ;-Þ
Das OU-Design ist doch gegenüber dem Benutzer unsichtbar und diese bekommen davon nichts mit. "Nebenan" ein neues OU-Design aufbauen und die Objekte in die entsprechenden OUs verschieben sollte kein Problem darstellen (ja und explizit für dich auch nicht ;-D ).

Gruß, Yusuf
Viele Grüße aus Mainz
Yusuf Dikmenoglu - Microsoft MVP - Directory Services
Blog: LDAP://Yusufs.Directory.Blog/

Dienstag, 1. Juni 2010 18:58

Antworten

|

Zitieren

Moderator

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Eingeschränkter Domänen-Admin

Frage

Antworten

Alle Antworten