none
Rechte zu Objekten zuweisen RRS feed

  • Frage

  • Hallo,

    ich arbeite mit einem Windows Server 2012 R2 und kann über das AD Benutzer und Computer Tool einfach Gruppen Rechten zuweisen. 

    Jetzt gibt es zwei Probleme:

    1. Problem:
    Ich habe eine OU="Benutzer" angelegt. Hier gibt es die Gruppen "Admin", "Mitarbeiter", "Gast". 

    Folgendes Szenario:
    - Die Gruppe Admin soll neue User-Objekte zu der Gruppe "Mitarbeiter" oder "Gast" hinzufügen können.
    - ‎Die Gruppe Mitarbeiter soll neue User-Objekte zur Gruppe "Gast" hinzufügen können.
    - ‎Die Gruppe Gast soll gar nichts dürfen.

    Jetzt kann ich ja, auf der OU "Benutzer" eine Delegation anlegen, und der Gruppe "Admin" erlauben die Gruppenzugehörigkeit der User-Objekte zu verändern. Soweit so gut.
    Wenn ich jetzt aber der Gruppe Mitarbeiter die gleichen Rechte gebe, so können diese sich selber zur Gruppe Admin hinzufügen, was ja nicht zielführend ist.

    Jetzt ist die Frage, wie man so etwas löst?
    Sollte man diese Gruppen in OUs unterteilen "Admin", "Mitarbeiter", "Gast"?.
    Dann kann man den Admins Rechte für die OU Gast und Mitarbeiter geben, den Mitarbeitern Rechte für die OU Gast.
    Und auf die OU Gast haben sowohl Mitarbeiter und Admins die rechte.

    Ist das die Best-Practice oder wie sollte man so ein Problem angehen?

    2. Problem:
    Aktuell verwaltete ich diese Rechte über RSAT auf einem Remote Computer, was auch super funktioniert. Jetzt würde ich das Rechte Management allerdings gerne automatisieren mit einem NodeJS Server auf einer Linux Box. Eine entsprechende LDAP Verbindung steht bereits, um z.B. Nutzer in OUs zu verschieben etc.

    Jetzt ist die Frage, ob man diese "Delegation" auch über die LDAP modifizieren kann, oder ob dies ein Windows Interner Prozess ist, der direkt gegen eine interne Datenbank geht, die nicht per LDAP modifizierbar ist?

    Ich weiß, dass es prinzipiell mit Powershell möglich wäre, aber eine Möglichkeit dies direkt in LDAP zu modifizieren wäre natürlich am aller besten.

    Gibt es eine Möglichkeit?

    Danke für die Antworten.
    Mittwoch, 20. Dezember 2017 20:35

Antworten

  • Guten morgen,

    gut jetzt habe verstanden worum es dir geht. Leider war Formulierung bezüglich Gruppen wie du sie genutzt hast für mich etwas irreführend.

    Da es dir auch um die Verwaltung von Account Eigenschaften wie Passwörter geht, wirst du um die OUs nicht rum kommen. Richte dir in jeder für jede der drei Personengruppen eine AD Gruppe ein. Füge die Administratoren in die Gruppe Admins und gebe der AD-Gruppe die Rechte auf die OU der normalen Benutzer und der Gäste. Entsprechend gehst du bei den normalen Mitarbeitern für die Gruppe der Gäste vor.

    Hier mal ein Video wie man AD Design "Richtig" macht https://www.youtube.com/watch?v=3QAxbxgbR6U


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Freitag, 22. Dezember 2017 05:06

Alle Antworten

  • Hallo Waishon,

    so ganz habe ich die Fragestellung nicht verstanden. Willst du die Rechte auf eine OU oder auf eine Gruppe setzen?Wenn es um Gruppen geht, dann kannst du für jede Gruppe festlegen wer Mitglieder hinzufügen darf. Wenn es sich um OUs handelt wäre ich vorsichtiger da man dort mit den Berechtigungen deutlich mehr Schaden anrichten kann als "normaler" Benutzer.

    Ich persönlich würde Berechtigungen nicht an die OU binden sondern immer an Gruppen. Damit ist man deutlich flexibler als mit OUs.


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Donnerstag, 21. Dezember 2017 07:24
  • Moin,

    ich Versuche nocheinmal etwas Licht ins Dunkeln zu bringen:

    Ich habe die Gruppen "Gast", "Mitarbeiter" und "Gast". Nehmen wir der Einfachheit an, dass diese alle in der selben Standard OU RootDN/Users sind.

    Jetzt möchte ich folgendes erreichen.
    Gäste haben die geringsten Rechte, Mitarbeiter folgen darauf und Admins haben die meisten Rechte. Optimal wäre eine Art Vererbung, sprich Admin hat Mitarbeiterrechte + zusätzliche etc.

    Aktuell habe ich es so gelöst, dass ich die drei OUs (Gäste, Mitarbeiter, Admin) angelegt habe, und setze über das AD Benutzer und Computer Verwaltungstool mit einem Rechtsklick -> Objektverweis hinzufügen die Rechte. 
    Das sieht dann so aus, dass z.B. ich der Admingruppe mit Hilfe der Delegation Zugriff auf das modifzeren der Passwörter aller Benutzer gebe, die sich in der Mitarbeiter OU befinden. Dies ist ja wie bereits gesagt, ganz einfach über "Objektverweis hinzufügen" machbar. 
    Funktioniert auch.

    Jetzt sprachst du davon, man soll es am besten über die Gruppenzugehörigkeit regeln. Wie mache ich dies am besten? 

    Ich weise die Mitarbeiter-User der Mitarbeiter Gruppe zu (analog Gäste und Admins). Kann ich jetzt z.B. der Mitarbeiter Gruppe sagen, dass diese nur die Gäste-User modifizieren dürfen (Name, Passwort etc)? Analog dazu, dass die Admins die Mitarbeiter und Gäste bearbeiten dürfen?

    Wenn dies möglich ist, wären OUs in der Tat blödsinnig. 

    Da ich aktuell noch lerne und mich in dieser ganze Thematik reinarbeite, wäre eine kleine Hilfestellung über die Best Practices bzw Realisierung eines solchen Konzeptes sehr hilfreich und nett.

    Danke im vorraus.

    Donnerstag, 21. Dezember 2017 14:58
  • Guten morgen,

    gut jetzt habe verstanden worum es dir geht. Leider war Formulierung bezüglich Gruppen wie du sie genutzt hast für mich etwas irreführend.

    Da es dir auch um die Verwaltung von Account Eigenschaften wie Passwörter geht, wirst du um die OUs nicht rum kommen. Richte dir in jeder für jede der drei Personengruppen eine AD Gruppe ein. Füge die Administratoren in die Gruppe Admins und gebe der AD-Gruppe die Rechte auf die OU der normalen Benutzer und der Gäste. Entsprechend gehst du bei den normalen Mitarbeitern für die Gruppe der Gäste vor.

    Hier mal ein Video wie man AD Design "Richtig" macht https://www.youtube.com/watch?v=3QAxbxgbR6U


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Freitag, 22. Dezember 2017 05:06
  • Vielen Dank. Auch Danke für das Video. Sehr interessant.

    Vielleicht hat ja auch noch jemand eine Antwort auf die 2. Frage, ob es Möglich ist, diese OU Delegierung über die LDAP zu machen?

    Samstag, 23. Dezember 2017 01:57
  • Vielleicht hat ja auch noch jemand eine Antwort auf die 2. Frage, ob es Möglich ist, diese OU Delegierung über die LDAP zu machen?


    Warum probierst Du es nicht einfach aus? Da Du offenbar der Meinung bist, in Deinem Einsatzszenario wäre LDAP besser geeignet als ADSI oder ADWS, hast Du da sicher bereits Erfahrung sowie entsprechende Tools an der Hand. Es wäre also ein Leichtes, das zu verifizieren und dann hier für die Allgemeinheit zu berichten ;-)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Samstag, 23. Dezember 2017 05:58