AD-Verwaltung delegieren: Passwort zurücksetzen, Gruppen und Mitglieder managen

Rechte für OUs delegieren in Active Directory-Benutzer und -ComputerGerade in Unternehmen mit vielen Benutzern und Gruppen sollen Mitarbeiter aus den Fachab­teilungen oft einfache Aufgaben der AD-Administration übernehmen. Daher erlaubt das Active Directory die De­le­gierung von Rechten. Am einfachsten geht es über den zuständigen Wizard in AD-Benutzer und -Computer. Die Rechte zu widerrufen ist jedoch komplizierter.

Eine ungünstige Form der Arbeitsteilung im AD-Management besteht darin, dass man all jene, die Hilfsaufgaben wahrnehmen, mit der Rolle eines Administrators ausstattet. Dies geschieht in der Regel aus Unkenntnis über die Möglichkeiten der Rechte-Delegierung und sollte tunlichst vermieden werden.

Password Reset als häufigste Aufgabe

Die Übertragung von Rechten erfolgt üblicherweise für gängige Tätigkeiten, die den Helpdesk entlasten und die sich oft besser innerhalb einer Abteilung ausführen lassen, weil sich etwa der zuständige Kollege in Rufweite befindet. Dazu zählen das Zurücksetzen von Passwörtern oder das Hinzufügen und Entfernen von Mitgliedern in bzw. aus AD-Gruppen.

Die Vergabe solcher Rechte erfolgt am einfachsten über den entsprechenden Wizard in Active Directory-Benutzer und Computer. Er findet sich im Kontextmenü von Containern, für deren Objekte bestimmte administrative Rechte übertragen werden können, also in OUs und Domänen (die Delegierung auf Site-Ebene erfolgt in Active Directory-Standorte und -Dienste, eine granulare Rechtevergabe für GPOs in der Gruppenrichtlinienverwaltung).

Standardrechte versus Auswahl von AD-Attributen

Dort findet sich der Befehl Objektverwaltung zuweisen, der den erwähnten Wizard startet. Nach der Auswahl von Gruppen oder Benutzern, an die man ausgewählte Rechte vergeben möchte, erscheint ein Dialog mit einer Liste von Privilegien, die häufig an normale Benutzer delegiert werden.

Der Wizard in ADUC macht es sehr einfach, gängige Aufgaben an normaler Benutzer zu delegieren.

Alternativ entscheidet man sich für Benutzerdefinierte Aufgaben zum Zuweisen erstellen. Diese Option erlaubt die Auswahl von bestimmten AD-Objekten wie Benutzer, Gruppen, Drucker oder freigegebene Ordner, für deren Verwaltung Rechte übertragen werden sollen. Die im anschließenden Dialog präsentierten Privilegien sind sehr fein abgestuft. Sie tragen in vielen Fällen nur den Namen des entsprechenden AD-Attributs, so dass für dieses Verfahren eine detaillierte Kenntnis des AD-Rechtesystems erforderlich ist.

Keine komfortablen Alternativen auf der Kommandozeile

Eine solche benötigt man auch, wenn man für diese Aufgabe andere Tools aus dem Microsoft-Werkzeugkasten nutzen möchte. Dazu zählt etwa das Kommandozeilenprogramm dsacls.exe, für das man alle granularen Rechte in Form einer Liste als Parameter übergeben muss.

Ähnlich sieht es bei PowerShell aus, das im Gegensatz zu anderen AD-bezogenen Funktionen für diesen Zweck kein High-Level-Cmdlet bietet, so dass man Privilegien mit Hilfe eines 1-Zeilers vergeben könnte. Eine Alternative bietet hier Add-QADPermission aus den kostenlosen Dell PowerShell Commands for Active Directory.

Vergebene Rechte anzeigen und wiederrufen

Die unzureichende Tools-Ausstattung für die Delegierung von AD-Rechten zeigt sich auch beim Reporting oder beim Entziehen von Privilegien. Will man herausfinden, wer beispielsweise befugt ist, Passwörter für die Benutzer einer bestimmten OU zurückzusetzen, dann gibt es dafür keine so komfortable Methode wie beim Zuweisen der Rechte.

Die vergebenen Rechte kann man über die erweiterten Sicherheitseinstellungen einer OU anzeigen.

Möchte man die an bestimmte Benutzer delegierten Rechte in einer OU anzeigen, dann muss man im ersten Schritt die Erweiterten Features in AD-Benutzer und -Computer aktivieren (im Menü Ansicht). Anschließend öffnet man Eigenschaften aus dem Kontextmenü der OU, wechselt zur Registerkarte Sicherheit und klickt auf die Schaltfläche Erweitert. Aus der anschließenden Übersicht kann man entnehmen, wer welche Rechte in der betreffenden OU besitzt. Hier kann man diese auch wieder entziehen.

Privilegien mit dsacls.exe anzeigen

Auf der Kommandozeile kann man sich die Rechte in einer OU mit Hilfe von dsacls.exe auch anzeigen lassen. Nachdem die Ausgabe des Befehls ziemlich unübersichtlich ist, wird man sie mit Hilfe von findstr filtern, um bestimmte Rechte anzuzeigen:

dsacls ou=Marketing,dc=contoso,dc=com /A | findstr "Reset Password"

Dieses Beispiel listet auf, wer in der OU Marketing Rechte hat und grenzt diese auf jenes ein, Passwörter zurückzusetzen. Auch ein Entziehen von Privilegien ist mit Hilfe von dsacls.exe unter Verwendung der Schalters /R möglich.

Tools für Endbenutzer

Ein weiteres Tools-Problem stellt sich dann, wenn Benutzer ihre Rechte ausüben und administrative Aufgaben übernehmen sollen. Grundsätzlich könnte sie dafür die gleichen Programme verwenden wie Administratoren. In der Praxis möchte man aber wahrscheinlich nicht auf den PCs von allen Mitarbeitern, die beim AD-Management helfen, RSAT installieren. Zudem sind die Tools relativ komplex und für Endbenutzer nicht ideal.

Der Group Manager ist ein Frontend für das Hinzufügen und Entfernen von Mitgliedern zu bzw. aus AD-Gruppen.

Hier kann Software von Drittanbietern die Lücke füllen. Für das Hinzufügen und Entfernen von Benutzern aus bzw. zu Gruppen empfiehlt sich etwa Group Manager von Chris Wright. Darüber hinaus existiert eine ganze Reihe kostenloser Tools für das Zurücksetzen von AD-Passwörtern.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen