Bosco 0 Geschrieben 15. August 2019 Melden Teilen Geschrieben 15. August 2019 Hallo zusammen, nachdem ich mich seit einiger Zeit erfolglos durch das Netz gewühlt hbae, möchte ich hier im Forum mein Anliegen los werden und hoffe, mir kann hier jemand weiterhelfen. Ich soll für meinen Arbeitgeber einen, sozusagen zweiten, Administratorbenutzer anlegen, mit dem, einfachere Aufgaben, wir z.B. ein Rechner in die Domäne bringen, Benutzerkonten anlegen, Installationen durchführen, ... machbar sein sollen. Allerdings finde ich nirgends eine Beschreibung, wie man einen solchen Benutzer aufbauen kann, und welche Berechtigunegn/Rollen diesem zuzuweisen sind. ... Und die Kür der Aufgabe ist, auch diesen Benutzer ohne Adminrechte zu erstellen, was meines Wissens nach, nicht gehen dürfte, wobei mein Chef da anderer Meinung ist :-( Ich bin für jede Idee dankbar und wünsche euch einen tollen Tag Bosco Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 15. August 2019 Melden Teilen Geschrieben 15. August 2019 Hi, vor 53 Minuten schrieb Bosco: Rechner in die Domäne bringen das kann per Default jeder Domänen-Benutzer mit bis zu 10 Clients. Hier könntest du einer "HelpDesk-Gruppe" das erstellen von Computer Objekten für die entsprechende(n) OU(s) delegieren: https://blogs.technet.microsoft.com/dubaisec/2016/02/01/who-can-add-workstation-to-the-domain/ vor 56 Minuten schrieb Bosco: Benutzerkonten anlegen Das lässt sich ebenfalls per Delegation an eine entsprechende Gruppe erledigen: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-by-using-ou-objects vor einer Stunde schrieb Bosco: Installationen durchführen Dafür müsste der User bzw. besser die "HelpDesk-Gruppe" Mitglied der lokalen Administratoren auf den PCs / Servern sein, wo installiert werden soll. vor einer Stunde schrieb Bosco: Und die Kür der Aufgabe ist, auch diesen Benutzer ohne Adminrechte zu erstellen, was meines Wissens nach, nicht gehen dürfte, wobei mein Chef da anderer Meinung ist :-( Da wäre ggfs. der Least Privilege Manager noch ein Ansatz: https://www.policypak.com/products/least-privilege-manager.html Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. August 2019 Melden Teilen Geschrieben 15. August 2019 Das Anlegen von Benutzerkonten kann ein Mitglied der Sicherheitsgruppe der Kontenoperatoren. Ein Mitglied der Sicherheitsgruppen der Administratoren ist uind bleibt ein Administrator. Und wenn jemand Installationen vornehmen darf und kann, dann ist er ein Administrator, muss er ein Administrator sein, sonst könnten im Zuge einer Installation keine Änderungen der Registry geschehen. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 15. August 2019 Melden Teilen Geschrieben 15. August 2019 Moin, die Gruppe "Konten-Operatoren" will und sollte man nicht benutzen. Sie ist insgesamt viel zu hoch berechtigt. @Bosco: was du suchst, nennt sich "administrative Delegation". Wenn du keine Erfahrung damit hast, ist externe Beratung sicher sinnvoll, denn sowas wird auch in kleineren Umgebungen schnell komplex. Und es ist natürlich sensibel in Bezug auf die Sicherheit. Im ersten Schritt solltet ihr genau (!) definieren, was die Rolle denn tun bzw. können soll. Auf der Basis kann man dann prüfen, wo welche Berechtigungen nötig sind. Ob man dafür dann separate Tools braucht, lässt sich auch nur auf Basis der exakten Anforderungen bewerten. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 15. August 2019 Melden Teilen Geschrieben 15. August 2019 An der Stelle noch ein wichtiger, oft vernachlässigter Hinweis zum fröhlichen Delegieren: Dokumentiert es! Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 15. August 2019 Melden Teilen Geschrieben 15. August 2019 vor 59 Minuten schrieb lefg: kann ein Mitglied der Sicherheitsgruppe der Kontenoperatoren. ...die man nicht verwenden möchte, da Mitglieder dieser Gruppe von Admin-SDHolder geschützt werden und somit unerwünschte Nebeneffekte auftreten und zusätzlich diese Gruppe viel zu viele Rechte besitzt. Zitieren Link zu diesem Kommentar
Bosco 0 Geschrieben 16. August 2019 Autor Melden Teilen Geschrieben 16. August 2019 Hallo zusammen, vielen Dank schon mal für die vielen Hinweise, ich glaube ich habe jetzt was zu basteln Gruß Bosco Zitieren Link zu diesem Kommentar
Bosco 0 Geschrieben 22. August 2019 Autor Melden Teilen Geschrieben 22. August 2019 Hallo zusammen, bin nun einen Schritt weiter. Ich habe eine universal/Sicherheitsgruppe und einen neuen Benutzer erstellt. Den Benutzer habe ich der Gruppe zugewiesen. Die Gruppe wiederum auf dem Server in der AD Verwaltung im Bereich Users die Objaktverwaltung mit den Optionen berechtigt: Erstellen / Verwalten Benutzerkonten Kennwörter zurücksetzen Liest alle Benutzerinformationen Erstellen / verwaltet Gruppen Mit dem User habe ich mich nun auf einem Rechner angemeldet und lokal die Verwaltungstools aufgerufen. Leider habe ich hier keine Berechtigung? Auch mit RDP komme ich nicht mit diesem User auf den Server. Bin ich am Server angemeldet kann ich die AD Verwaltung mit dem neuen Benutzer auch nicht starten. Grundsätzlich kommt die Meldung, keine Berechtigung. Habt ihr eine Idee? Viele Grüße Bosco Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. August 2019 Melden Teilen Geschrieben 22. August 2019 vor 3 Minuten schrieb Bosco: Leider habe ich hier keine Berechtigung? Was ist "hier"? Warum solltest du per RDP auf "den" (welchen?) Server kommen? Und ja für diverse MMC Snap-Ins benötigt man mehr Berechtigungen, als ein normaler Nutzer hat. Kann man ebenfalls delegieren. Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 22. August 2019 Melden Teilen Geschrieben 22. August 2019 Falls "hier" ein Default Container (Computers / Users / ...) ist, dann siehe: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-of-default-containers-and-ous Zitat Important If you need to delegate control over users or computers, do not modify the default settings on the users and computers containers. Instead, create new OUs (as needed) and move the user and computer objects from their default containers and into the new OUs. Delegate control over the new OUs, as needed. We recommend that you not modify who controls the default containers. Zitieren Link zu diesem Kommentar
Bosco 0 Geschrieben 22. August 2019 Autor Melden Teilen Geschrieben 22. August 2019 Ich fasse nochmal kurz mein Ziel zusammen Ich möchte mich mit einem Benutzer an einem Rechner anmelden, aufdem die AD Verwaltungstools installiert sind. Dieser soll hier im AD einfache Aufgaben, wie Benutzer/Gruppen/Computer-Verwaltung übernehmen. Hierzu habe ich einen neuen Standardbenutzer und eine neue universal/Sicherheit Gruppe angelegt. Den neuen Benutzer habe ich dann der Gruppe zugeordnet. Jetzt habe ich mich am AD des Servers angemeldet und habe zu dem Objekt Users die Option "Objektverwaltung zuweisen" gewählt. Hier dann die neue Gruppe eingetragen und die oben genannten Optionen hinzugefügt. Leider funktioniert das wohl so nicht ... Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 22. August 2019 Melden Teilen Geschrieben 22. August 2019 Zuerst mal: Nein, du willst KEINE universellen Gruppen benutzen. Nie. Zweitens: dsa.msc bringt je nach UAC-Einstellungen zwar einen Admin-Credentials-Dialog. Da kann der User aber auch seine "normalen" Creds eingeben, dann läuft sie halt in seinem Kontext. Drittens: Was genau funktioniert wie genau nicht? "Users" ist übrigens die falsche Gruppe - ich würde bei Delegationen nie mit automatischen Builtin-Gruppen arbeiten. Kann sein, daß es schon alleine daran liegt. Und wenn Du die Verwaltung von "Users" delegierst, dann ist damit genau gar nichts erreicht - das ist eine automatische Builtin-Gruppe, was soll da delegiert werden? Du mußt schon die Rechte auf die jeweiligen Benutzer- und Gruppen-Objekte delegieren (bzw. auf die OU, wo die sinnvollerweise drin sind). Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. August 2019 Melden Teilen Geschrieben 22. August 2019 vor 19 Minuten schrieb daabm: Nie. Doch. Jeder mit Exchange ;) Zitieren Link zu diesem Kommentar
Bosco 0 Geschrieben 23. August 2019 Autor Melden Teilen Geschrieben 23. August 2019 Guten Morgen , habe mir das noch einmal angesehen, also die Universalgruppe habe ich aus dem Grund, den NorbertFe genannt hat, ausgewählt. Bei dem Ordner Users handelt es sich nicht um eine built OU, dieser wurde manuell angelegt. 10 hours ago, daabm said: (bzw. auf die OU, wo die sinnvollerweise drin sind) ... Wäre das dann nicht die Gruppe Users, da ich ja die entsprechendne Benutzerobjekte bearbeiten möchte? Wäre ja froh, wenn ich schon mal soweit kommen würde aber bei mir hakt es ja aktuell schon beim Zugriffsversuch mit meinem neuen Standardnutzer auf das AD. Gruß Bosco Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 23. August 2019 Melden Teilen Geschrieben 23. August 2019 Moin, nimm es mir nicht übel - aber es fehlen dir noch ein paar Grundlagen zum AD, die man für den Aufbau einer Berechtigungssteuerung haben sollte. Das ist nicht schlimm und lässt sich mit überschaubarem Aufwand erarbeiten, aber ohne geht es nicht. Daher noch mal der Vorschlag, dass du dir hier externe Beratung dazuholst. Stichworte, mit denen du dich beschäftigen solltest: Konzept der Ordner- und OU-Strukturen im AD Gruppenkonzept im AD Funktionsweise der Berechtigungssteuerung in Windows allgemein (ACL, SID, Access Token, Vererbung ...) und im AD speziell administrative Grundlagen des AD jenseits des Tagesgeschäfts: vordefinierte Adminkonten und -Gruppen, Zuweisen administrativer Rechte und dann aufbauend das Thema administrative Delegation und die Best Practices dazu Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.