Active Directory besser verwalten

Delegierung zum administrativen Verwalten einer Organisationseinheit

| Autor: Thomas Joos

Thomas Joos
Thomas Joos (Thomas Joos)

Ein gutes Praxisbeispiel für die Delegierung von Benutzerrechten in Active Directory ist das Zurücksetzen von Kennwörtern welches zum Beispiel Support-Mitarbeiter erhalten sollen. Wenn Anwender ihr Kennwort vergessen oder ein neues Kennwort zugewiesen bekommen, sollte das nicht die Aufgabe der Systemadministratoren sein. In diesem Fall könnte zum Beispiel der Abteilungsleiter oder ein Poweruser diese Aufgaben übernehmen.

Es besteht außerdem die Möglichkeit, an eine bestimmte Gruppe genau diese Rechte für seine OU zu delegieren:

    • Legen Sie zunächst eine globale oder universelle Benutzergruppe an, welche die Rechte der Delegierung erhalten soll. Auch wenn die Gruppe zunächst keinen Benutzer enthält, sollten Sie in den Berechtigungen von Active Directory niemals nur einzelne Konten eintragen, da ansonsten die Berechtigungsstruktur sehr kompliziert wird. Außerdem müssen Sie bei jeder Änderungen dann direkt Änderung am System vornehmen, anstatt nur Benutzer der Gruppe hinzuzufügen oder aus der Gruppe zu entfernen.
    • Klicken Sie mit der rechten Maustaste auf die OU, in der die Benutzerkonten abgelegt sind, deren Verwaltung Sie delegieren wollen. Wählen Sie im Kontextmenü den Befehl Objektverwaltungzuweisen
    • Fügen Sie im Assistenten die angelegte Gruppe hinzu, der Sie das Recht zur Verwaltung der OU geben wollen. Welche Rechte die Gruppe erhält, legen Sie erst später fest.
    • Aktivieren Sie im nächsten Fenster als zuzuweisende Aufgabe zum Beispiel das Recht Erstellt, entfernt und verwaltet Benutzerkonten. Wenn Sie den entsprechenden Nutzern nur das Recht zum Ändern der Kennwörter geben wollen, können Sie hier auch die Option Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung Wollen Sie speziellere Rechte erteilen, aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen.
    • Beenden Sie den Assistenten, um die Delegierung abzuschließen. Anschließend erhalten alle Mitglieder die Sie in die Gruppe aufnehmen die entsprechenden Rechte. Entfernen Sie ein Benutzerkonto aus der Gruppe, verliert es diese Rechte. Bei der Änderung von Gruppenmitgliedschaften muss sich der entsprechende Benutzer in den meisten Fällen neu anmelden, bevor er die entsprechenden Rechte erhält.

Die entsprechenden Rechte für diese Gruppe finden Sie, in dem Sie im Snap-In Active Directory-Benutzer und -Computer über den Menübefehl Ansicht/Erweiterte Features die erweiterten Ansichtsfunktionen aktivieren. Wenn Sie danach die Eigenschaften der OU oder der Domäne aufrufen und die Registerkarte Sicherheit öffnen, sehen Sie die delegierten Rechte. Klicken Sie hier auf Erweitert, finden Sie im folgenden Fenster auf der Registerkarte Berechtigungen die genauen Rechte der Gruppe aufgelistet, die Sie delegiert haben. Wenn Sie die Delegierung wieder rückgängig machen wollen, müssen Sie einfach an dieser Stelle die Rechte der Gruppe wieder entfernen.