Objektverwaltung zuweisen - Delegation von Aufgaben
Die Idee:
Ihr habt eine größere Domäne und einige Co-Administratoren, die auf einer
bestimmten OU Benutzer verwalten können sollen. Für diesen Zweck brauchen sie
keine Domänen-Administrator Berechtigungen. Sie sollen (und müssen) nur diese OU
verwalten können. Denkbar wäre natürlich auch, daß diese Co-Admins das Recht
haben die Gruppenrichtlinien nur diese OU betreffend verwalten zu dürfen.
Das geht leider nicht mit Gruppenrichtlinien, das können sie
nicht. Es geht generell um Berechtigungen im AD und diese haben schon entfernt mit
dem Thema dieser Seite zu tun, denn ich schaffe wieder mal eine zentralisierte
Möglichkeit mein AD zu verwalten und über diesen Gedanken sind wir wieder voll
im Thema.
1. Kontextmenü der OU => Objektverwaltung zuweisen und dem Assistenten folgen
2. Es wird der Benutzer/Sicherheitsgruppe abgefragt, die dieses Objekt verwalten
dürfen
3. Die zugewiesene Aufgabe wird gewählt, in unserem Fall erhält der Benutzer
"Vollzugriff" auf die Benutzerkonten
4. Das war es schon ...
Die Schwierigkeiten:
Das oben angegebene Recht war eines der leichtesten Beispiele. Schwierig wird
die Aufgabe an der Stelle, wenn man dem Co-Admin nicht "Vollzugriff" auf die
Benutzerkonten gewähren möchte, sondern nur auf einzelne Attribute, zB
Kennwörter zurücksetzen oder andere Aufgaben, die diese Objektverwaltung noch
einmal genauer spezifizieren.
Für diesen Punkt muss man sich dann doch etwas genauer mit dem AD und seinen
Inhalten beschäftigen und würde das HowTo hier sprengen, deswegen noch ein
weiterer Tip: Schaut euch die Option "Benutzerdefinierte Tasks zum Zuweisen
erstellen" in aller Ruhe genauer an. Viele der möglichen Rechte sind
selbsterklärend.
Je granularer das Recht vergeben wird, desto mehr ist man auf jeden Fall in der
Pflicht es zu dokumentieren.
Wo wir gerade von dokumentieren sprechen:
Jetzt haben wir mit dem Assistenten eine Objektverwaltung erstellt, aber sie ist
nirgends wiederzufinden und in dem Moment, wo man den Assistenten erneut startet,
kann man nur einen weiteren Eintrag vornehmen ... Wo zum Geier sind die
vorgenommenen Einstellungen hingekommen?
Man muss im SnapIn "Active Directory Benutzer und Computer" unter dem Menüpunkt
"Ansicht" die "Erweiterte Funktion" auswählen, denn vorher ist der Reiter
"Sicherheit" in den Eigenschaften der OU nicht eingeblendet.
Unter "Erweitert" => Benutzer auswählen => Bearbeiten können die einzelnen
gesetzten Optionen verändert und eingesehen werden, bzw. die Objektverwaltung
wieder komplett entfernt werden, in dem man die per Assistent hinzugefügte
Benutzergruppe oder den Benutzer löscht.
Wenn man sich jetzt die passende Objektverwaltung zusammengebastelt hat, dann
stehen wir noch vor dem Problem, wie ich jetzt dem Benutzer eine passende
Oberfläche zum bearbeiten der Benutzer gebe.
1. Warum sollte sich der Benutzer am Server (einen DC)
anmelden können, nur für diese eine Aufabe?
2. Warum sollte er das komplette AD sehen können, wenn er nur die Benutzer
innerhalb einer OU verwaltet?
Beide Fragen scheinen ein wenig sinnfrei und für beide Fragen gibt es einfache
Antworten und Lösungen.
Nein, er muss sich nicht am Server anmelden und Nein, er muss auch nicht das
gesammte AD sehen.
zu 1.)
Installation des adminpak.msi (auf jeder Server CD im I386) auf einer
Workstation und Bearbeitung des AD von dieser mit dem entsprechendem SnapIn.
Nachteil: Wenn man das Adminpak installiert werden alle Verwaltungstools eines
Servers auf der Workstation hinterlegt und im Startmenü unter \Verwaltung
abgelegt. Das ist oftmals nicht erforderlich und gibt dem Co-Admin evtl. zu viel
"Spielzeug" in die Hand.
Deswegen meine Empfehlung:
Angepasste Installation des Adminpaks und damit nur die Installation der
notwendigen SnapIns.
http://support.microsoft.com/?kbid=314978
msiexec /i adminpak.msi ADDLOCAL=AbkürzungfürVerwaltungsprogramm
/qb
Mögliche Optionen:
| Abkürzung |
Serververwaltungsprogramm |
| FeCERTConsole |
Zertifizierungsstelle |
| FeClusterConsole |
Clusterverwaltung |
| FeCMAKConsole |
Verbindungs-Manager-Verwaltungskit |
| FeDHCPConsole |
DHCP |
| FeDFSConsole |
Verteiltes Dateisystem (DFS) |
| FeDNSConsole |
DNS-Dienst (DNS = Domain Name System) |
| FeIASConsole |
Internetauthentifizierungsdienst |
| FeIISConsole |
Internetdienste-Manager |
| FeACSConsole |
QoS-Zugangssteuerung |
| FeRSConsole |
Remotespeicher |
| FeRRASConsole |
Routing und RAS |
| FeTAPIConsole |
Telefonie |
| FeTSClientConsole |
Terminaldiensteclient |
| FeTSMgrConsole |
Terminaldienstetools |
| FeWINSConsole |
WINS |
| FeADTools |
Active Directory-Programme |
In unserem Fall also:
msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb
In den Active Directory Programmen sind folgende SnapIns enthalten:
- Active Directory-Domänen und -Vertrauensstellungen
- Active Directory-Standorte und -Dienste
- Active Directory-Benutzer und -Computer
Jetzt hat der User nur das notwendigste Rüstzeug, aber beim Öffnen von "Active
Directory-Benutzer und -Computer" sieht er immer noch mehr als er braucht und
deswegen erstellen wir ihm jetzt eine angepasste MMC. Was auch die Lösung für
die 2te Frage ist.
zu 2.)
- öffnen einer leeren MMC über Start => ausführen => mmc.exe
- SnapIn "Active Directory Benutzer und Computer" hinzufügen
- Auf der OU => rechte Maustaste um dann im Kontextmenü "Neues Fenster"
auswählen
- zuerst geöffnetes Konsolenfenster dahinter schliessen
- Ansicht anpassen und dann über den Menupunkt Datei => Optionen einen Namen
vergeben evtl. Icon anpassen
- und die MMC im Benutzermodus - beschränkter Zugriff, Einzelfenster speichern.
Diese *.msc Datei kann jetzt in einer Netzwerkshare hinterlegt werden. Auf der
Share oder der *.msc selber nur "lesen" Rechte für den Benutzer (oder die
Gruppe) vergeben und jetzt müssen wir nur noch den Link auf dem Desktop des
betreffenden Rechners für den Benutzer bereitstellen.
(c) 2003 - heute, Mark Heitbrink,
weitere Informationen unter WebSite-Info\Copyright