Discussion:
Objektverwaltung zuweisen
(zu alt für eine Antwort)
Harald Haas
2009-05-04 11:08:11 UTC
Permalink
Hallo zusammen,

wir möchten einem Benutzer, der in keiner administrativen
Gruppe der Domäne enthalten ist, die Objektverwaltung zum
Zurücksetzen von Kennwörtern von Benutzerobkjekten innerhalb
einer OU zuweisen.
Der Benutzer soll außer dieser OU nichts weiter von der
ADS-Struktur sehen können (keine übergeordneten Objekte,
keine Kontoeigenschaften)!
Der Dömain-Benutzer ist Mitglied der lokalen Gruppe der
Administratoren (auf seinem Rechner).

Die Verwaltungsprogramme für Windows Server 2003
(WindowsServer2003-KB340178-SP2-x86-DEU.msi) sollen
möglichst nicht auf dem Rechner installiert werden müssen.

Gibt es hierzu eine aussagekräftige Anleitung mit spezieller
Berücksichtigung darauf, dass der Benutzer nur die Objekte
innerhlab der zugewiesenen OU sehen kann?!

Vielen Dank für jede Unterstützung

Harald
Florian Frommherz [MVP]
2009-05-04 11:31:29 UTC
Permalink
Hi Harald,
Post by Harald Haas
wir möchten einem Benutzer, der in keiner administrativen
Gruppe der Domäne enthalten ist, die Objektverwaltung zum
Zurücksetzen von Kennwörtern von Benutzerobkjekten innerhalb
einer OU zuweisen.
Der Benutzer soll außer dieser OU nichts weiter von der
ADS-Struktur sehen können (keine übergeordneten Objekte,
keine Kontoeigenschaften)!
Der Dömain-Benutzer ist Mitglied der lokalen Gruppe der
Administratoren (auf seinem Rechner).
[...]
Gibt es hierzu eine aussagekräftige Anleitung mit spezieller
Berücksichtigung darauf, dass der Benutzer nur die Objekte
innerhlab der zugewiesenen OU sehen kann?!
Mir fällt da jetzt spontan das Stichwort "Taskpad" ein:
http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
Frank Röder
2009-05-04 11:36:55 UTC
Permalink
Hallo Harald,

jeder User sieht eigentlich alle Objekte im AD bis auf einzelne Ausnahmen.
Das Einzige, was Du tun kannst, ist eine angepasste Verwaltungskonsole
erstellen, die Du dem User zur Verfügung stellst.

http://support.microsoft.com/kb/230263

Die Verwaltungstools musst Du nicht komplett auf dem Client installieren. Es
reicht, wenn Du die AD Verwaltungstools installierst. Dazu musst Du das MSI
Paket über die Kommandozeile aufrufen:

http://support.microsoft.com/kb/314978

In diesem Artikel wird beschrieben, wie man die Objektverwaltung delegiert:

http://www.microsoft.com/germany/technet/datenbank/articles/600542.mspx

--
Viele Grüße

Frank Röder
MVP - Directory Services
Yusuf Dikmenoglu [MVP]
2009-05-04 12:40:01 UTC
Permalink
Servus,
Post by Harald Haas
Der Benutzer soll außer dieser OU nichts weiter von der
ADS-Struktur sehen können (keine übergeordneten Objekte,
keine Kontoeigenschaften)!
starte auf einer Maschine worauf das AdminPak installiert ist unter
Start-Ausführen eine MMC. Dann:

- Datei - SnapIn hinzufügen..
- Hinzufügen
- AD-Benutzer und-Computer auswählen - Schließen - OK
- Zu der gewünschten OU navigieren -> Rechtsklick -> Neues Fenster
- Datei - Speichern unter... als OU.msc abspeichern und demjenigen diese MSC
zur Verfügung stellen.

Danach sieht man nur die eine OU, aber die Kontoeigenschaften aller Benutzer
die in dieser OU enthalten sind kann man trotzdem lesen. Aber ohnehin hat
jeder Authentifizierte Benutzer einer AD-Umgebung das Leserecht auf das AD.
Post by Harald Haas
Der Dömain-Benutzer ist Mitglied der lokalen Gruppe der
Administratoren (auf seinem Rechner).
Wozu? Für die Delegierung ist das nicht notwendig. Daher entferne ihn aus
der lokalen Admin-Gruppe.
Post by Harald Haas
Die Verwaltungsprogramme für Windows Server 2003
(WindowsServer2003-KB340178-SP2-x86-DEU.msi) sollen
möglichst nicht auf dem Rechner installiert werden müssen.
Der Benutzer benötigt aber zumindest die AD-Span-Ins, insbesondere die
"Active Directory-Benutzer und -Computer" MMC. Um lediglich die AD-MMCs zu
installieren (was Frank bereits angesprochen hatte), führe diesen Befehl aus:

msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb


[Yusufs Directory Blog - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cObjektverwaltung.aspx
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de
Harald Haas
2009-05-05 11:28:26 UTC
Permalink
Hallo Yusuf,

also prinzipiell ist alles klar und auch super gut
nachvollziehbar - dafür nochmals danke!

Aber was mich noch stört ist, dass der Benutzer in der Lage
ist, durch öffnen der AD-Snap-Ins in der Verwaltung "seines"
PC's den kompletten Aufbau der ADS einzusehen, auch wenn er
keine Schreibrechte dort hat!

Gibt es da Möglichkeiten, den "Sichtbereich" im Snap-In der
Verwaltung einzuschränken!
Auch könnte der Benutzer innerhalp der OU, die ihm zur
Verwaltung zugewiesen wurde, die Kontoeigenschaften einsehen
(nicht verändern) - eigentlich soll er nur die Möglichkeit
haben, Kenntwörter zu ändern und nix weiter!

MfG Harald
04.05.2009 14:40 >>>
Servus,
Post by Harald Haas
Der Benutzer soll außer dieser OU nichts weiter von der
ADS-Struktur sehen können (keine übergeordneten Objekte,
keine Kontoeigenschaften)!
starte auf einer Maschine worauf das AdminPak installiert
ist unter
Start-Ausführen eine MMC. Dann:

- Datei - SnapIn hinzufügen..
- Hinzufügen
- AD-Benutzer und-Computer auswählen - Schließen - OK
- Zu der gewünschten OU navigieren -> Rechtsklick -> Neues
Fenster
- Datei - Speichern unter... als OU.msc abspeichern und
demjenigen diese MSC
zur Verfügung stellen.

Danach sieht man nur die eine OU, aber die
Kontoeigenschaften aller Benutzer
die in dieser OU enthalten sind kann man trotzdem lesen.
Aber ohnehin hat
jeder Authentifizierte Benutzer einer AD-Umgebung das
Leserecht auf das AD.
Post by Harald Haas
Der Dömain-Benutzer ist Mitglied der lokalen Gruppe der
Administratoren (auf seinem Rechner).
Wozu? Für die Delegierung ist das nicht notwendig. Daher
entferne ihn aus
der lokalen Admin-Gruppe.
Post by Harald Haas
Die Verwaltungsprogramme für Windows Server 2003
(WindowsServer2003-KB340178-SP2-x86-DEU.msi) sollen
möglichst nicht auf dem Rechner installiert werden
müssen.

Der Benutzer benötigt aber zumindest die AD-Span-Ins,
insbesondere die
"Active Directory-Benutzer und -Computer" MMC. Um lediglich
die AD-MMCs zu
installieren (was Frank bereits angesprochen hatte), führe
diesen Befehl aus:

msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb


[Yusufs Directory Blog - Active
Directory|Objektverwaltung]http://blog.dikmenoglu.de/Categor
yView,category,Active%2BDirectory%2cObjektverwaltung.aspx
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de
Florian Frommherz [MVP]
2009-05-05 11:55:33 UTC
Permalink
Howdie!
Post by Harald Haas
Aber was mich noch stört ist, dass der Benutzer in der Lage
ist, durch öffnen der AD-Snap-Ins in der Verwaltung "seines"
PC's den kompletten Aufbau der ADS einzusehen, auch wenn er
keine Schreibrechte dort hat!
Dann installier die Snap-Ins nicht auf den Clientmaschinen. Yusuf schrieb
ja:

"starte auf einer Maschine worauf das AdminPak installiert ist unter
Start-Ausführen eine MMC. (...) "
- Datei - Speichern unter... als OU.msc abspeichern und demjenigen diese MSC
zur Verfügung stellen."

Das geht - soweit ich weiß - auch ohne installiertes Adminpak auf dem
Clientrechner.

Ganz beseitigen wirst du die Tatsache, dass Benutzer das Verzeichnis browsen
können, jedoch nicht. Jeder Benutzer kann sich ein ADSIEdit oder LDP auf den
Rechner ziehen und es öffnen. Wer unbedingt wissen will, wie eure
AD-Struktur rausfindet, kriegt es auch raus.

Cheers,
Florian
Yusuf Dikmenoglu [MVP]
2009-05-05 12:21:01 UTC
Permalink
Post by Florian Frommherz [MVP]
Das geht - soweit ich weiß - auch ohne installiertes Adminpak auf dem
Clientrechner.
Nein Flo, dass geht nicht. Auf dem Ziel-PC muss die dsa.msc existieren,
sonst funktioniert die abgespeicherte MSC nicht.


@Harald
Post by Florian Frommherz [MVP]
Gibt es da Möglichkeiten, den "Sichtbereich" im Snap-In der
Verwaltung einzuschränken!
Nein.
Post by Florian Frommherz [MVP]
Auch könnte der Benutzer innerhalp der OU, die ihm zur
Verwaltung zugewiesen wurde, die Kontoeigenschaften einsehen
(nicht verändern) - eigentlich soll er nur die Möglichkeit
haben, Kenntwörter zu ändern und nix weiter!
Auch das ist nicht möglich, denn wie ich bereits in meiner ersten Antwort
schrieb, hat jeder Domänen-Benutzer das Leserecht auf das AD.

Wenn du jetzt anfängst "zu basteln", dann tust du dir (und deinem AD)
keineswegs einen Gefallen.
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de
Florian Frommherz [MVP]
2009-05-06 05:57:41 UTC
Permalink
Hallo!
Post by Yusuf Dikmenoglu [MVP]
Post by Florian Frommherz [MVP]
Das geht - soweit ich weiß - auch ohne installiertes Adminpak auf dem
Clientrechner.
Nein Flo, dass geht nicht. Auf dem Ziel-PC muss die dsa.msc existieren,
sonst funktioniert die abgespeicherte MSC nicht.
Naaaaa okay, dann werd' ich mir das merken. Wär auch zu schön gewesen.

Cheers,
F.
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
Loading...