News
Serverspace Technologien in den VAE: Einführung von Falconcloud
Einloggen Verein registrieren
OL
1. Juli 2021
Aktualisiert Mai 25, 2023

Berechtigungsdelegierung in Active Directory

AD Windows

In großen Organisationen gibt es mehrere Teams von IT-Administratoren und Helpdesk-Spezialisten, in diesem Fall ist eine Delegation erforderlich. Beispielsweise können Helpdesk-Spezialisten oder Teamleiter Passwörter zurücksetzen, Systemadministratoren können Gruppenmitgliedschaften ändern und nur IT-Architekten-Administratoren dürfen Organisationseinheiten verwalten. Diese Aufgabentrennung ist für den Betrieb und die Sicherheit sehr hilfreich.

Um die Kontrolle zu delegieren, benötigen Sie Domänenadministratorberechtigungen oder haben vollständige Kontrolle über die Organisationseinheiten, über die Sie die Kontrolle delegieren möchten. Sie können dies auf verschiedene Arten tun: über ADUC, die Eingabeaufforderung und andere.

Delegation über ADUC

Um die Kontrolle über zu delegieren Active Directory-Benutzer und -Computer (dsa.msc). Folge diesen:

Führen Sie dsa.msc aus. RechtscliMarkieren Sie die benötigte Organisationseinheit und wählen Sie „Kontrolle delegieren...“ aus.

Active Directory Users and Computers (dsa.msc) | Serverspace

Das Assistent zum Delegieren der Kontrolle erscheint dort, wo Sie es brauchen click“Weiter”. Dann click“Hinzufügen...„Wählen Sie, an wen Sie die Kontrolle delegieren möchten und click Weiter

Wählen Sie im Fenster „Zu delegierende Aufgaben“ die Aufgaben aus, die Sie delegieren möchten. Sie können auch eine benutzerdefinierte Aufgabe von Grund auf erstellen.

Task to Delegate | Serverspace

Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Weiter und Fertig stellen.

Completing the Delegation of Control Wizard

Delegierungsberechtigungen können in den Eigenschaften der Organisationseinheit angezeigt werden Sicherheit Tab.

Delegierung über die Befehlszeile

Für die Berechtigungsdelegierung wurde Microsoft entwickelt dsacls.exe. Es eignet sich gut für skriptgesteuerte Bereitstellungen. Es eignet sich auch gut zur Anzeige aktueller Berechtigungen. Sie können /a pa verwendenrameter, um alle Berechtigungen für die OU anzuzeigen, zum Beispiel:

dsacls.exe "OU=Employees,DC=office,dc=local" /a

Delegation via the Command Line

Hier sehen wir KJenkins-Berechtigungen, die wir in unserem vorherigen Beispiel delegiert haben.

Um einem Konto neue delegierte Berechtigungen hinzuzufügen, müssen wir ihm Berechtigungen gemäß einer bestimmten Syntax zuweisen. Die Syntax besteht aus Grundberechtigungen und Erweitert. Hier ist die Liste der Grundberechtigungen:

  • GR - Allgemeine Lektüre
  • GE - Generische Ausführung
  • GW - Generisches Schreiben
  • GA - Generische volle Kontrolle

Die beliebtesten erweiterten Berechtigungen:

  • SD - löschen
  • DT - Löschen Sie ein Objekt und alle untergeordneten Objekte
  • RC - Lesen Sie die Sicherheitsinformationen
  • WD - Sicherheitsinformationen ändern
  • WO - Besitzerinformationen ändern
  • CC - Untergeordnetes Objekt erstellen
  • DC - Untergeordnetes Objekt löschen
  • RP - Eigenschaft lesen
  • WP - Eigentum schreiben

Lassen Sie uns an unseren Benutzer KJenkins delegieren Löschen Berechtigungen für Mitarbeiter OU:

dsacls.exe "OU=Employees,DC=office,DC=local"  /G OFFICE\KJenkins:SD;

Delegation über die integrierten Gruppen

Standardmäßig gibt es integrierte Gruppen wie Kontooperatoren und Serveroperatoren, die Verwaltungsaufgaben in Active Directory übernehmen.

Sie können jeden Benutzer diesen Gruppen zuordnen und zusätzliche Berechtigungen in der Domäne erhalten, ohne Vollzugriff gewähren zu müssen. Seien Sie jedoch gewarnt, dass die integrierte Gruppe „Kontobetreiber“ mehr Berechtigungen bereitstellt, als tatsächlich erforderlich sind. Sie können alle Objekte in allen Organisationseinheiten mit Ausnahme der Organisationseinheit „Domänencontroller“ erstellen, ändern und löschen, mit Ausnahme der Mitglieder der Gruppe „Domänenadministratoren“.

Best Practices für die Delegation von OU-Rechten

  • Erstellen Sie eine Delegationskontrollmatrix, um alle Zugriffsrechte auf Ihr AD zu dokumentieren
  • Verwenden Sie beim Delegieren von Berechtigungen immer Gruppen und keine einzelnen Benutzerkonten. Es wird für Sie einfacher und sicherer sein, Delegationszugriff zu gewähren
  • Vermeiden Sie das Verweigern von Berechtigungen, da diese Vorrang vor zulässigen Berechtigungen haben und Ihre Zugriffslisten dadurch zu komplex für die Verwaltung werden können.
  • Versuchen Sie, die Delegationseinstellungen auf unerwünschte Auswirkungen zu testen.

Abstimmung:
5 aus 5
Durchschnittliche Bewertung: 5
Bewertet von: 1
1101 CT Amsterdam Niederlande, Herikerbergweg 292
+31 20 262-58-98
700 300
ITGLOBAL.COM NL
700 300
Delegation über ADUC
Delegierung über die Befehlszeile
Delegation über die integrierten Gruppen
Best Practices für die Delegation von OU-Rechten

Danke! Bitte geben Sie den Grund für die niedrige Bewertung an, damit wir den Artikel verbessern können

Benutzerkonto anlegen

oder melden Sie sich an

Mit der Anmeldung stimmen Sie dem zu Nutzungsbedingungen.

Wir verwenden Cookies, um Ihr Erlebnis auf der Website zu verbessern Serverspace besser. Indem Sie weiterhin auf unserer Website surfen, stimmen Sie unseren zu
Cookies und Datenschutzbestimmungen.