Delegierung von Rechten im Active Directory

Letzte Aktualisierung am 15.12.2023, 16:12:41 Uhr

In gewissen Unternehmensgrößen kann es sinnvoll, Arbeiten wie Kennwort zurücksetzen oder Konto entsperren, an Abteilungsleiter oder User Help Desk (UHD) zu delegieren. Das Ganze ist eigentlich ein Hexenwerk, wenn man sich im Active Directory auskennt. Nachfolgend eine kurze Anleitung wie man einer AD-Gruppe die Rechte zuweist:

Auf einem Domain Controller das Snapin „Active Directory-Benutzer und -Computer“ starten. Danach die Domäne oder die Organisationseinheit markieren, die man delegieren möchte. Rechtsklick und dort „Objektverwaltung zuweisen…“

adcau-objekt-delegieren adcau-assis-objektverwaluntg-welcome

Im nächsten Schritt einen Benutzer oder Gruppe auswählen. Wobei ich persönlich immer eine Gruppe bevorzuge, weil man damit einfach flexibel ist und nur in seltenen Fällen etwas in der Objektverwaltung anpassen muss.

adcau-assis-objektverwaluntg-user adcau-assis-objektverwaluntg-zuweisung
Beim Objekt reicht es „Benutzer“ auszuwählen und auf „Weiter“ klicken: Im nachfolgenden Dialog werden die notwendigen Berechtigungen ausgewählt:
adcau-assis-objektverwaluntg-objekttyp adcau-assis-objektverwaluntg-berechtigung

Folgende Attribute haben wir ausgewählt:

  • Passwort zurücksetzen (Berechtigung: Kennwort ändern, Kennwort zurücksetzen)
  • Passwort bei der nächsten Anmeldung ändern (pwdLastSet lesen, pwdLastSet schreiben)
  • Benutzerkonto entsperren (Berechtigung: lockoutTime lesen, lockoutTime schreiben)

Zum Schluss erscheint eine Art Zusammenfassung über die Delegierung. Mit dem Klick „Fertig stellen“ wird die Änderung in wenigen Minuten wirksam.

Für die zuständigen Stellen im Helpdesk greifen wir auf das Tool AD Account Reset Tool von Cjwdev zurück.

Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments