none
Verwalter nur bestimmt Dinge erlauben RRS feed

  • Frage

  • Hallo.

    Gibt es die Möglichkeit einen Benutzer-Account nur bestimmte Dinge im AD zu erlauben, z.b. das ändern der Passwörter einer bestimmten Benitzergruppe?

    Hintergrund ist das  bestimmte Benutzer sich nur in einer Terminal-Sitzung und über einen TS-Gateway anmelden, noch umfangereiche Policies gestezt sind, und da funktionieren die möglichen Mechanismen nicht. Die Passwörter sollen aber doch ab und an geändert werden.

    System 2008.

    Gruss Ingo Schneider

     

    Donnerstag, 7. Oktober 2010 10:03

Antworten

  • Am 07.10.2010 schrieb Ingo Schneider:

    Gibt es die Möglichkeit einen Benutzer-Account nur bestimmte Dinge im AD zu erlauben, z.b. das ändern der Passwörter einer bestimmten Benitzergruppe?

    Du suchst die Objektverwaltung:
    http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 7. Oktober 2010 10:31
  • Howdie!
     
    On 07.10.2010 12:03, Ingo Schneider wrote:
    > Gibt es die Möglichkeit einen Benutzer-Account nur bestimmte Dinge im AD
    > zu erlauben, z.b. das ändern der Passwörter einer bestimmten Benitzergruppe?
     
    Ja, das geht. Das erreichst du am Einfachsten, indem du den "Delegation
    of Control" Assistenten verwendest:
     
    http://www.windowsecurity.com/articles/Implementing-Active-Directory-Delegation-Administration.html
    http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
    http://articles.techrepublic.com.com/5100-10878_11-5032934.html
     
    > Hintergrund ist das bestimmte Benutzer sich nur in einer
    > Terminal-Sitzung und über einen TS-Gateway anmelden, noch umfangereiche
    > Policies gestezt sind, und da funktionieren die möglichen Mechanismen
    > nicht. Die Passwörter sollen aber doch ab und an geändert werden.
     
    Das verstehe ich irgendwie nicht so richtig.
     
    Cheers,
    Florian
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Donnerstag, 7. Oktober 2010 10:34
  • Am 07.10.2010 schrieb Ingo Schneider:
    Hi,

    Nur, was hindert den berichtigen Benutzer daran, wenn erst mal die Verwaltungstools auf der Maschine installiert sind, sich selbst eine MMC zu bauen mit der er das ganze AD sieht?

    Ein GPO? ;)
    Wenn schauen schon reicht, mußt du dir darüber Gedanken machen, wie du ihm
    diese Rechte nehmen kannst. Aber dazu brauch ich im Zweifel keine MMC,
    sondern nur ein VBScript. ;) Das solltest du also dann erstmal in einer
    Testumgebung probieren, denn damit kann man sich wirklich den Ast absägen.

    Bye
    Norbert

    Donnerstag, 7. Oktober 2010 21:20

Alle Antworten

  • Am 07.10.2010 schrieb Ingo Schneider:

    Gibt es die Möglichkeit einen Benutzer-Account nur bestimmte Dinge im AD zu erlauben, z.b. das ändern der Passwörter einer bestimmten Benitzergruppe?

    Du suchst die Objektverwaltung:
    http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 7. Oktober 2010 10:31
  • Howdie!
     
    On 07.10.2010 12:03, Ingo Schneider wrote:
    > Gibt es die Möglichkeit einen Benutzer-Account nur bestimmte Dinge im AD
    > zu erlauben, z.b. das ändern der Passwörter einer bestimmten Benitzergruppe?
     
    Ja, das geht. Das erreichst du am Einfachsten, indem du den "Delegation
    of Control" Assistenten verwendest:
     
    http://www.windowsecurity.com/articles/Implementing-Active-Directory-Delegation-Administration.html
    http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm
    http://articles.techrepublic.com.com/5100-10878_11-5032934.html
     
    > Hintergrund ist das bestimmte Benutzer sich nur in einer
    > Terminal-Sitzung und über einen TS-Gateway anmelden, noch umfangereiche
    > Policies gestezt sind, und da funktionieren die möglichen Mechanismen
    > nicht. Die Passwörter sollen aber doch ab und an geändert werden.
     
    Das verstehe ich irgendwie nicht so richtig.
     
    Cheers,
    Florian
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Donnerstag, 7. Oktober 2010 10:34
  • Hallo.

    Danke. So könnte es gehen. Sieht derjenige dann trotzdem alles oder nur seine OE? Weil, alles sehen darf der nicht.

    @Florian.

    Es gibt die Möglichkeit den Benutzer alle x Tage zum ändern des Passwortes zu zwingen, oder ein Häkchen zu setzen das er es bei der nächsten Anmeldung ändern muss. Beides funktioniert nicht wenn man sich an einer RDP-Sitzung über einen TS-Gateway anmeldet. Für das manuelle ändern der Passwörter alle paar Tage habe ich keine Zeit und keine Lust. Dann soll das dort der Gruppenleiter machen.

    Gruss

     

    Donnerstag, 7. Oktober 2010 14:42
  • Hallo.

     Sieht derjenige dann trotzdem alles oder nur seine OE? Weil, alles sehen darf der nicht.

     


    Sorry, genau das steht ja weiter unten beschrieben und hat sich damit erledigt.
    Donnerstag, 7. Oktober 2010 14:45
  • Hallo.

    Also das mit den ändern der Passwörter klappt. Ein Fenster der MMC so einrichten das man beim Öffnen nur die Benutzer oder Objekte einer speziellen OE sieht auch.

    Nur, was hindert den berichtigen Benutzer daran, wenn erst mal die Verwaltungstools auf der Maschine installiert sind, sich selbst eine MMC zu bauen mit der er das ganze AD sieht? Klar, machen kann er nichts, aber schauen reicht auch schon.

    Gruss

    Donnerstag, 7. Oktober 2010 15:27
  • Am 07.10.2010 schrieb Ingo Schneider:
    Hi,

    Nur, was hindert den berichtigen Benutzer daran, wenn erst mal die Verwaltungstools auf der Maschine installiert sind, sich selbst eine MMC zu bauen mit der er das ganze AD sieht?

    Ein GPO? ;)
    Wenn schauen schon reicht, mußt du dir darüber Gedanken machen, wie du ihm
    diese Rechte nehmen kannst. Aber dazu brauch ich im Zweifel keine MMC,
    sondern nur ein VBScript. ;) Das solltest du also dann erstmal in einer
    Testumgebung probieren, denn damit kann man sich wirklich den Ast absägen.

    Bye
    Norbert

    Donnerstag, 7. Oktober 2010 21:20
  • Guten Morgen Norbert.

    Eine GPO? Wenn Du mir da einen Wink geben könntest wie!?

    In den Richtlinien finde ich leider keine Möglichkeit den lesenden Zugriff auf "seine" OE zu beschränken.

    Ich habe eine GPO erstellt womit ich verhindere das diese andere Snap-Ins als die von mir erlaubten hinzufügen kann. Somit beschränkt sich das Problem schon nur mal auf AD Benutzer und Computer.

    Ich habe es mit den Rechten in AD vesucht. Bis jetzt ohne Erfolg. Leider hatte gestern aber auch nur wenig Zeit dafür.

    Gruss Ingo

    Freitag, 8. Oktober 2010 07:12
  • Am 08.10.2010 schrieb Ingo Schneider:
    Hi,

    Eine GPO? Wenn Du mir da einen Wink geben könntest wie!?

    Hast du schon gefunden. Damit gehen erstmal nur die erlaubten MMCs. Und wenn
    du jetzt noch ohne Editormodus arbeitest, kann er afair die von dir
    gefertigte MMC auch nicht ändern.

    Ich habe es mit den Rechten in AD vesucht. Bis jetzt ohne Erfolg. Leider hatte gestern aber auch nur wenig Zeit dafür.

    LOL. Wie ich schon schrub, bitte sowas ZUERST nur in einer Testumgebung und
    nicht im Live-AD probieren. Damit schießt man sich hervorragend das AD ab.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Freitag, 8. Oktober 2010 10:29
  • Hallo Norbert.

    Autorenmodus habe ich schon versucht, bringt leider nicht den gewünschten Erfolgt. Die selbst angefertigte MMC ässt sich dann nicht mehr starten.

    Ich bin vorsichtig. Habe zuerst mal versucht dem Benutzer bestimmte Dinge zu verweigern.

    Gruss Ingo

    Freitag, 8. Oktober 2010 12:51
  • Am 08.10.2010 schrieb Ingo Schneider:
    Hi,

    Autorenmodus habe ich schon versucht, bringt leider nicht den gewünschten Erfolgt. Die selbst angefertigte MMC ässt sich dann nicht mehr starten.

    Dann hast du die MMC faslch gebastelt. ;)

    Ich bin vorsichtig. Habe zuerst mal versucht dem Benutzer bestimmte Dinge zu verweigern.

    Das ist der falsche Weg, glaub mir einfach. Sowas macht man entweder
    richtig, oder man läßt die Finger davon.

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Sonntag, 10. Oktober 2010 13:27
  • Stimmt. Danke.

    Gruss Ingo

    Montag, 11. Oktober 2010 06:42