Delegierung von Rechten im Active Directory

In gewissen Unternehmensgrößen kann es sinnvoll, Arbeiten wie Kennwort zurücksetzen oder Konto entsperren, an Abteilungsleiter oder User Help Desk (UHD) zu delegieren. Das Ganze ist eigentlich ein Hexenwerk, wenn man sich im Active Directory auskennt. Nachfolgend eine kurze Anleitung wie man einer AD-Gruppe die Rechte zuweist:

Auf einem Domain Controller das Snapin „Active Directory-Benutzer und -Computer“ starten. Danach die Domäne oder die Organisationseinheit markieren, die man delegieren möchte. Rechtsklick und dort „Objektverwaltung zuweisen…“
adcau-objekt-delegieren

adcau-assis-objektverwaluntg-welcome

Im nächsten Schritt einen Benutzer oder Gruppe auswählen. Wobei ich persönlich immer eine Gruppe bevorzuge, weil man damit einfach flexibel ist und nur in seltenen Fällen etwas in der Objektverwaltung anpassen muss.
adcau-assis-objektverwaluntg-user

adcau-assis-objektverwaluntg-zuweisung

Beim Objekt reicht es „Benutzer“ auszuwählen und auf „Weiter“ klicken:
adcau-assis-objektverwaluntg-objekttyp

Im nachfolgenden Dialog werden die notwendigen Berechtigungen ausgewählt:
adcau-assis-objektverwaluntg-berechtigung

Folgende Attribute haben wir ausgewählt:

  • Passwort zurücksetzen (Berechtigung: Kennwort ändern, Kennwort zurücksetzen)
  • Passwort bei der nächsten Anmeldung ändern (pwdLastSet lesen, pwdLastSet schreiben)
  • Benutzerkonto entsperren (Berechtigung: lockoutTime lesen, lockoutTime schreiben)

Zum Schluss erscheint eine Art Zusammenfassung über die Delegierung. Mit dem Klick „Fertig stellen“ wird die Änderung in wenigen Minuten wirksam.

Für die betroffenen „Hilfadmins“ stellen wir das Tool AD Account Reset Tool von Cjwdev bereit.

Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments