none
Sichbarkeit OUs und Objekte - Active Directory-Benutzer und -Computer - Delegierung RRS feed

  • Frage

  • Guten Morgen,

    wir haben einem User bzw. einer Gruppe die Objektverwaltung für eine OU eingerichtet. Hier kann der User die Mitgliedschaft in Gruppen verändern.

    Damit er das auf seinem PC durchführen kann, hat er die RSAT für Windows 10 installiert bekommen.

    In der Konsole Active Directory-Benutzer und -Computer sieht er nun die Gesamte AD-Struktur also alle OUs und Objekte. 

    Kann man die Sichtbarkeit soweit einschränken, dass er nur die OU/Objekte sieht, die er auch verwaltet?

    Danke vorab.

    AMU


    Donnerstag, 30. April 2020 03:55

Antworten

  • Moin,

    man kann, aber das ist ein Riesenprojekt, denn dafür musst Du Authenticated Users das Leserecht entziehen und dieses an diejenigen Objekte explizit vergeben, die es benötigen. Und dafür muss man wissen, welche das sind.

    Machbar isses, aber der Nutzen steht in keiner Relation zum Aufwand. Und man kann das AD auch mit einem Excel-Makro auslesen, sprich: Wenn Du ein Problem damit hast, dass jemand alle Objekte lesen kann, hast dieses Problem auch, ohne dass Du irgendwo RSAT installierst.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert AMU_2020 Donnerstag, 30. April 2020 09:16
    Donnerstag, 30. April 2020 05:20
  • Habe ein Tool gefunden

    mit Group Manager von http://www.cjwdev.co.uk/Software/GroupMan/Info.html kann man einem User die Möglichkeit geben, die Mitgliedschaften bestimmter Gruppen zu verändern.

    Einfach und gut - in meinem Fall

    • Als Antwort markiert AMU_2020 Donnerstag, 30. April 2020 09:16
    Donnerstag, 30. April 2020 09:16

Alle Antworten

  • Moin,

    man kann, aber das ist ein Riesenprojekt, denn dafür musst Du Authenticated Users das Leserecht entziehen und dieses an diejenigen Objekte explizit vergeben, die es benötigen. Und dafür muss man wissen, welche das sind.

    Machbar isses, aber der Nutzen steht in keiner Relation zum Aufwand. Und man kann das AD auch mit einem Excel-Makro auslesen, sprich: Wenn Du ein Problem damit hast, dass jemand alle Objekte lesen kann, hast dieses Problem auch, ohne dass Du irgendwo RSAT installierst.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert AMU_2020 Donnerstag, 30. April 2020 09:16
    Donnerstag, 30. April 2020 05:20
  • Hi,

    der Aufwand steht in keinem Verhältnis, das sehe ich ein. Auch, dass eigentlich jeder AD-User auch das AD durchsuchen könnte - mit entsprechender Motivation.

    Letztlich möchte ich aber nur das zur Ansicht bereitstellen, was auch zur Arbeit gebraucht wird.

    Ist ggf. ein anderes Tool bekannt, mit dem man beim Öffnen eine definierte OU öffnen bzw. zur Ansicht bringen  kann?

    Donnerstag, 30. April 2020 05:52
  • Habe ein Tool gefunden

    mit Group Manager von http://www.cjwdev.co.uk/Software/GroupMan/Info.html kann man einem User die Möglichkeit geben, die Mitgliedschaften bestimmter Gruppen zu verändern.

    Einfach und gut - in meinem Fall

    • Als Antwort markiert AMU_2020 Donnerstag, 30. April 2020 09:16
    Donnerstag, 30. April 2020 09:16
  • Am 30.04.2020 schrieb AMU_2020:

    wir haben einem User bzw. einer Gruppe die Objektverwaltung für eine OU eingerichtet. Hier kann der User die Mitgliedschaft in Gruppen verändern.

    Damit er das auf seinem PC durchführen kann, hat er die RSAT für Windows 10 installiert bekommen.

    In der Konsole Active Directory-Benutzer und -Computer sieht er nun die Gesamte AD-Struktur also alle OUs und Objekte. 

    Kann man die Sichtbarkeit soweit einschränken, dass er nur die OU/Objekte sieht, die er auch verwaltet?

    Jepp, kann man einschränken. ADUC.msc öffnen, egal auf welchem
    Client/Server, die betreffende OU markieren, Aktion > neues Fenster
    hier öffnen. Jetzt hast Du ein Fenster nur mit der OU, Speichern
    untern, fertig. Die gespeicherte MSC kannst du dem User auf den
    Rechner kopieren.
    Hab ich vor sehr langer Zeit selbst gebraucht und Mark Heitbrink hatte
    es gewußt. :)

    Möchtest Du die MSC weiter einschränken, hilft sicherlich die Antwort
    hier weiter: https://stackoverrun.com/de/q/1757054

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 30. April 2020 16:03