Vorherige

Nächste

Implementieren delegierter Berechtigungen

Abgeschlossen

Sie untersuchen den Bericht, der von einem Unternehmen von IT-Sicherheitsexperten für Contoso erstellt wurde. Sie stellen fest, dass Benutzerkonten, die Mitglieder von Gruppen mit hohen Berechtigungen sind, z. B. „Unternehmensadministratoren“ und „Domänenadministratoren“, über Vollzugriff auf alle Systeme und Daten verfügen. Sie erkennen, dass diese Konten streng geschützt werden müssen.

Es gibt jedoch Benutzer, die bestimmte Administratorrechte benötigen, um ihre Aufgaben auszuführen. Beispielsweise müssen Helpdeskmitarbeiter in der Lage sein, Kennwörter zurückzusetzen und Konten für normale Benutzer zu entsperren, oder einige IT-Mitarbeiter sind für die Installation von Anwendungen auf Clients oder Servern oder die Erstellung von Sicherungen verantwortlich.

Active Directory und Mitgliedsserver verfügen zwar über integrierte Gruppen, denen vordefinierte Berechtigungen zugewiesen sind, wie z. B. „Sicherungsoperatoren“ und „Konten-Operatoren“, diese entsprechen aber möglicherweise nicht Ihren Anforderungen. Sie müssen nun festlegen, wie Sie diesen eingeschränkten administrativen Zugriff am besten bereitstellen.

Verwenden des Assistenten zum Zuweisen der Objektverwaltung

Delegierte Berechtigungen stellen eine Möglichkeit dar, bestimmten Benutzern oder Gruppen begrenzte Berechtigungen zu gewähren. Mithilfe des Assistent zum Zuweisen der Objektverwaltungkönnen Sie präzisere Berechtigungen an Benutzer oder Gruppen delegieren. Der Assistent ermöglicht Ihnen, Berechtigungen auf der Ebene der Website, Domäne oder Organisationseinheit zuzuweisen. Der Assistent verfügt über die folgenden vordefinierten Aufgaben, die Sie zuweisen können:

• Erstellen, Löschen und Verwalten von Benutzerkonten.
• Zurücksetzen von Benutzerkennwörtern und Erzwingen der Kennwortänderung bei der nächsten Anmeldung.
• Lesen aller Benutzerinformationen.
• Erstellen, Löschen und Verwalten von Gruppen.
• Ändern der Mitgliedschaft einer Gruppe.
• Hinzufügen eines Computers zur Domäne (nur auf Domänenebene verfügbar).
• Verwalten von Gruppenrichtlinienverknüpfungen.
• Generieren von Richtlinienergebnissätzen (Planung).
• Generieren von Richtlinienergebnissätzen (Protokollierung).
• Erstellen, Löschen und Verwalten von inetOrgPerson-Konten.
• Zurücksetzen von inetOrgPerson-Kennwörtern und Erzwingen der Kennwortänderung bei der nächsten Anmeldung.
• Lesen aller inetOrgPerson-Informationen.

Sie können auch Berechtigungen kombinieren, um benutzerdefinierte Aufgaben zu erstellen und zuzuweisen.

Zum Starten es Assistenten zum Zuweisen der Objektverwaltungöffnen Sie „Active Directory-Benutzer und -Computer“, und suchen Sie die Organisationseinheit (OU), über die Sie die Objektverwaltung delegieren möchten.

Hinweis

Sie können auch die Objektverwaltung für das Domänenobjekt delegieren.

Tipp

Zum Delegieren der Objektverwaltung für einen Standort verwenden Sie das Tool „Active Directory-Standorte und -Dienste“, um die Kontrolle zu delegieren.

Verwenden Sie dann das folgende Verfahren:

1. Rechtsklicken oder aktivieren Sie das Kontextmenü zur Organisationseinheit. Wählen Sie Objektverwaltung zuweisen und dann Weiter aus.

2. Wählen Sie im Assistenten zum Zuweisen der Objektverwaltung den Benutzer oder die Gruppe aus, an den bzw. die Sie die Objektverwaltung delegieren möchten, und wählen Sie dann Weiter aus.

   Tipp

   Vermeiden Sie es, Rechte bestimmten Benutzern zuzuweisen. Verwenden Sie stattdessen Gruppen, auch wenn die Gruppe nur einen Benutzer enthält. Dadurch wird die zukünftige Verwaltung vereinfacht.

3. Wählen Sie auf der Seite Zuzuweisende Aufgaben aus einer Liste allgemeiner Aufgaben aus, oder wählen Sie eine benutzerdefinierte Aufgabe aus, die Sie delegieren möchten. Um z. B. die Möglichkeit zum Verwalten von Benutzerkonten zu delegieren, wählen Sie Folgendes aus:

   • Erstellen, Löschen und Verwalten von Benutzerkonten.
   • Zurücksetzen von Benutzerkennwörtern und Erzwingen von Kennwortänderungen bei der nächsten Anmeldung.
   • Lesen aller Benutzerinformationen.

4. Wählen Sie Fertig stellen aus.

Wichtig

Nachdem Sie den delegierten Zugriff zugewiesen haben, können Sie den Assistenten zum Zuweisen der Objektverwaltung nicht verwenden, um Ihre Einstellungen zu überprüfen.

So überprüfen Sie die zuvor konfigurierten delegierten Aufgaben

1. Wählen Sie unter Active Directory-Benutzer und -Computer im Menü Ansicht die Option Erweiterte Funktionen aus.
2. Suchen Sie die Organisationseinheit, die Sie delegiert haben. Rechtsklicken oder aktivieren Sie das Kontextmenü, und wählen Sie Eigenschaften aus.
3. Wählen Sie im Dialogfeld Eigenschaften von Name der Organisationseinheit zuerst die Registerkarte Sicherheit und anschließend Erweitert aus.
4. Suchen Sie den Sicherheitsprinzipal, an den Sie die Objektverwaltung delegiert haben, und überprüfen Sie die Berechtigungen. Sie können hier auch die delegierten Berechtigungen ändern.

Hinweis

Der Assistenten zum Zuweisen der Objektverwaltung bietet eine einfache, vom Assistenten gesteuerte Schnittstelle für die Konfiguration von AD DS-Berechtigungen für AD DS-Objekte.

Demo

Im folgenden Video wird gezeigt, wie Sie den Assistenten zum Zuweisen der Objektverwaltung zum Implementieren delegierter Berechtigungen verwenden. Der Vorgang umfasst die folgenden Hauptschritte:

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Erstellen Sie eine neue Gruppe mit dem Namen Vertriebsleiter in der Organisationseinheit Manager.
3. Fügen Sie einen Benutzer zur Gruppe Vertriebsleiter hinzu.
4. Führen Sie den Assistent zum Zuweisen der Objektverwaltung mit der Organisationseinheit Vertrieb als Ziel aus.
5. Weisen Sie der Gruppe Vertriebsleiter die Berechtigung Benutzerkennwörter zurücksetzen und Kennwortänderung bei der nächsten Anmeldung erzwingen für die Organisationseinheit Vertrieb zu.
6. Melden Sie sich als Mitglied der Gruppe Vertriebsleiter an, und vergewissern Sie sich, dass der Benutzer ein Kennwort für Benutzer in der Organisationseinheit Vertrieb zurücksetzen kann, aber nicht in der Organisationseinheit Forschung.

---

---

Kurze Wiederholung

1.

Einer der Administratoren bei Contoso IT möchte die Computerverwaltung an ein kleines Team im IT-Support delegieren. Die Computer befinden sich alle in der Vertriebsabteilung, und ihre Konten befinden sich in der Organisationseinheit „Vertrieb“. Wie sollte der Administrator fortfahren, wenn er sich an bewährte Methoden hält?

Erstellen Sie eine Gruppe für das Computerverwaltungsteam im Vertrieb, und erstellen Sie dann eine benutzerdefinierte Aufgabendelegierung für dieses Team in der Organisationseinheit „Vertrieb“. Die benutzerdefinierte Aufgabe wird für Computerobjekte verwendet.

Erstellen Sie eine Gruppe für das Computerverwaltungsteam im Vertrieb, und erstellen Sie dann eine allgemeine Aufgabendelegierung für dieses Team in der Organisationseinheit „Vertrieb“.

Erstellen Sie eine benutzerdefinierte Aufgabendelegierung für die Benutzer des Computerverwaltungsteams in der Organisationseinheit „Vertrieb“. Die benutzerdefinierte Aufgabe wird für Computerobjekte verwendet.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.

Weiter