Freigeben über


Delegieren der Steuerung in Active Directory Domain Services

Delegieren der Steuerung bedeutet, dass Sie verschiedenen Benutzern und Gruppen eine Reihe von Verwaltungsaufgaben zuweisen können. Sie können regulären Benutzern oder Gruppen grundlegende Verwaltungsaufgaben zuweisen und die domänen- und gesamtstrukturweite Verwaltung den Mitgliedern der Gruppen „Domänen-Admins“ und „Organisations-Admins“ überlassen. Durch Delegieren der Verwaltung können Sie Gruppen innerhalb Ihrer Organisation mehr Kontrolle über ihre lokalen Ressourcen geben. Außerdem können Sie Ihre Active Directory-Umgebung besser vor versehentlichem oder vorsätzlich herbeigeführtem Schaden schützen, indem Sie die Mitgliedschaft von Administratorgruppen einschränken.

Sie können die administrative Steuerung an eine beliebige Ebene einer Domänenstruktur delegieren, indem Sie Organisationseinheiten innerhalb einer Domäne erstellen und die administrative Steuerung für bestimmte Organisationseinheiten an bestimmte Benutzer oder Gruppen delegieren. Orientieren Sie sich bei der Entscheidung, welche Organisationseinheiten Sie erstellen möchten und welche Organisationseinheiten Konten oder freigegebene Ressourcen enthalten sollen, an der Struktur Ihrer Organisation.

Active Directory definiert bestimmte Berechtigungen und Benutzerrechte, die zum Delegieren oder Einschränken der administrativen Steuerung verwendet werden können. Durch eine Kombination aus Organisationseinheiten, Gruppen und Berechtigungen können Sie den am besten geeigneten administrativen Bereich für eine bestimmte Person definieren. Dabei kann es sich um eine gesamte Domäne, um alle Organisationseinheiten innerhalb einer Domäne oder um eine einzelne Organisationseinheit handeln.

Die administrative Steuerung kann einem Benutzer oder einer Gruppe per Assistent zum Zuweisen der Objektverwaltung zugewiesen werden. Mit dem Assistenten zum Zuweisen der Objektverwaltung können folgende Aufgaben delegiert werden:

  • Erstellen, Entfernen und Verwalten von Benutzerkonten
  • Zurücksetzen von Benutzerkennwörtern und Erzwingen der Kennwortänderung bei der nächsten Anmeldung
  • Auflisten aller Benutzerinformationen
  • Ändern der Mitgliedschaft einer Gruppe
  • Fügt einen Computer einer Domäne hinzu
  • Verwalten von Gruppenrichtlinien-Verknüpfungen
  • Erstellen des Richtlinienergebnissatzes (Planung)
  • Richtlinienergebnissatz erstellen (Protokollierung)
  • Erstellen, Löschen und Verwalten von inetOrgPerson-Konten
  • Zurücksetzen von inetOrgPerson-Kennwörtern und Erzwingen der Kennwortänderung bei der nächsten Anmeldung
  • Lesen aller inetOrgPerson-Informationen

Voraussetzungen

Um die Steuerung delegieren zu können, müssen folgende Voraussetzungen erfüllt sein:

  • Sie müssen Mitglied der Gruppe „Domänen-Admins“ sein oder über die erforderlichen Berechtigungen zum Ausführen der Aufgaben verfügen, die Sie delegieren möchten.

  • Auf dem Computer, auf dem Sie die Steuerung delegieren, müssen die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) für AD DS installiert sein.

Delegieren der Steuerung

Wenn Sie den Assistenten zum Zuweisen der Objektverwaltung verwenden, erfolgt die Delegierung nicht nur auf Domänen- oder Organisationseinheitenebene, sondern für alle Objekte unter diesem Container.

Führen Sie die folgenden Schritte aus, um den Assistenten zum Zuweisen der Objektverwaltung zu verwenden:

  1. Wählen Sie unter „Active Directory-Benutzer und -Computer“ den übergeordneten Container aus. Wählen Sie beispielsweise die Domäne oder Organisationseinheit aus, deren Steuerung Sie delegieren möchten.

  2. Wählen Sie im Menü „Aktion“ die Option Steuerung delegieren aus. Dadurch wird der Assistent zum Zuweisen der Objektverwaltung gestartet.

  3. Wählen Sie auf der Seite „Benutzer oder Gruppen“ die Benutzer oder Gruppen aus, an die Sie Berechtigungen delegieren.

  4. Wählen Sie auf der Seite „Zu delegierende Aufgaben“ aus einer Liste allgemeiner Aufgaben die Aufgabe aus, die Sie delegieren möchten, wie weiter oben in diesem Artikel erläutert.

  5. Wählen Sie „Fertig stellen“ aus, um den Delegierungsprozess abzuschließen.

Sie können auch die Option „Benutzerdefinierte Aufgaben zum Zuweisen erstellen“ auswählen, wenn Sie eine benutzerdefinierte Aufgabe erstellen möchten. Beim Erstellen einer benutzerdefinierten Aufgabe müssen Sie die Art des Objekts, auf das sich die Aufgabe bezieht, und die Berechtigungen angeben, die Sie delegieren möchten. Die allgemeinen Aufgaben gelten für alle Objekte im Bereich des Containers, für den Sie die Delegierung durchführen.