ineedhelp 12 Geschrieben 6. April 2020 Melden Teilen Geschrieben 6. April 2020 @All. Gerne möchte ich ungenutze Benutzerkonten deaktivieren und in eine Organisationseinheit für deaktiviere Benutzer verschieben. Dieses soll automatisiert per Powershell-Skript in einer geplanter Aufgabe auf dem Domänencontroller geschehen. Für die Ausführung der geplanten Aufgabe wird unter Sicherheitsoptionen das zu verwendende Benutzerkonto eingetragen. Gerne möchte ich diesem Konto so wenig Rechte wie nur möglich geben. Welche Rechte sind nötig, damit dieser Benutzer/Gruppe die Aufgabe erledigen kann? Danke im Voraus. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. April 2020 Melden Teilen Geschrieben 6. April 2020 Moin, am saubersten baust du das, indem du eine Gruppe (domänenlokal) dafür anlegst identifizierst, in welchen OUs die Konten liegen, um die es geht der Gruppe im AD genau die Berechtigungen auf die OU bzw. OUs gibst, die sie zur Bearbeitung braucht das Task-Konto (das nur für diese Aufgabe verwendet werden sollte) in die Gruppe aufnimmst den Task NICHT direkt auf einem DC erzeugst, sondern auf einem separaten Management-Rechner den Ordner, in dem das Skript liegt, per Berechtigung so absicherst, dass das Task-Konto das Skript lesen kann und nur berechtigte Admins es ändern können per GPO verhinderst, dass das Task-Konto sich irgendwo anders anmelden kann Gruß, Nils 1 Zitieren Link zu diesem Kommentar
ineedhelp 12 Geschrieben 6. April 2020 Autor Melden Teilen Geschrieben 6. April 2020 Danke Nils für Deine ausführliche Antwort. Ein Paar Dinge hatte ich nicht bedacht wie z. B. den Skriptordner abzusichern vor 33 Minuten schrieb NilsK: der Gruppe im AD genau die Berechtigungen auf die OU bzw. OUs gibst, die sie zur Bearbeitung braucht Genau hier habe ich noch meine Schwierigkeiten. Wo muss ich meine Haken in den erweiterten Sicherheitseinstellungen der OU setzen, damit die Konten deaktiviert und verschoben werden? Ich hoffe, dass man die Sicherheitseinstellungen auf "Untergeordnete 'Benutzer'-Objekte" anwendet und den Haken bei "'userAccountControl' schreiben" setzt. Aber wie mache es mit dem verschieben? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. April 2020 Melden Teilen Geschrieben 6. April 2020 (bearbeitet) Moin, korrekt, das Sperren und Entsperren geht nur "im Paket" über das Attribut userAccountControl. Das bedeutet, dass auch andere Kontenattribute gesetzt werden können. Das Verschieben erfordert Löschrechte in der Quell-OU und Schreibrechte in der Ziel-OU. Wichtig: Um sowas zu entwickeln, braucht man ein separates (!) AD, in dem man testen kann, ohne die Produktion zu beeinträchtigen. Und man macht sowas nicht per GUI, sondern per Skript. Ich zitiere mich mal selbst dazu: Gruß, Nils bearbeitet 6. April 2020 von NilsK 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.