Tags: Active Directory, Rechteverwaltung
Gerade in Unternehmen mit vielen Benutzern und Gruppen sollen Mitarbeiter aus den Fachabteilungen oft einfache Aufgaben der AD-Administration übernehmen. Daher erlaubt das Active Directory die Delegierung von Rechten. Am einfachsten geht es über den zuständigen Wizard in AD-Benutzer und -Computer. Die Rechte zu widerrufen ist jedoch komplizierter.
Eine ungünstige Form der Arbeitsteilung im AD-Management besteht darin, dass man all jene, die Hilfsaufgaben wahrnehmen, mit der Rolle eines Administrators ausstattet. Dies geschieht in der Regel aus Unkenntnis über die Möglichkeiten der Rechte-Delegierung und sollte tunlichst vermieden werden.
Password Reset als häufigste Aufgabe
Die Übertragung von Rechten erfolgt üblicherweise für gängige Tätigkeiten, die den Helpdesk entlasten und die sich oft besser innerhalb einer Abteilung ausführen lassen, weil sich etwa der zuständige Kollege in Rufweite befindet. Dazu zählen das Zurücksetzen von Passwörtern oder das Hinzufügen und Entfernen von Mitgliedern in bzw. aus AD-Gruppen.
Die Vergabe solcher Rechte erfolgt am einfachsten über den entsprechenden Wizard in Active Directory-Benutzer und Computer. Er findet sich im Kontextmenü von Containern, für deren Objekte bestimmte administrative Rechte übertragen werden können, also in OUs und Domänen (die Delegierung auf Site-Ebene erfolgt in Active Directory-Standorte und -Dienste, eine granulare Rechtevergabe für GPOs in der Gruppenrichtlinienverwaltung).
Standardrechte versus Auswahl von AD-Attributen
Dort findet sich der Befehl Objektverwaltung zuweisen, der den erwähnten Wizard startet. Nach der Auswahl von Gruppen oder Benutzern, an die man ausgewählte Rechte vergeben möchte, erscheint ein Dialog mit einer Liste von Privilegien, die häufig an normale Benutzer delegiert werden.
Alternativ entscheidet man sich für Benutzerdefinierte Aufgaben zum Zuweisen erstellen. Diese Option erlaubt die Auswahl von bestimmten AD-Objekten wie Benutzer, Gruppen, Drucker oder freigegebene Ordner, für deren Verwaltung Rechte übertragen werden sollen. Die im anschließenden Dialog präsentierten Privilegien sind sehr fein abgestuft. Sie tragen in vielen Fällen nur den Namen des entsprechenden AD-Attributs, so dass für dieses Verfahren eine detaillierte Kenntnis des AD-Rechtesystems erforderlich ist.
Keine komfortablen Alternativen auf der Kommandozeile
Eine solche benötigt man auch, wenn man für diese Aufgabe andere Tools aus dem Microsoft-Werkzeugkasten nutzen möchte. Dazu zählt etwa das Kommandozeilenprogramm dsacls.exe, für das man alle granularen Rechte in Form einer Liste als Parameter übergeben muss.
Ähnlich sieht es bei PowerShell aus, das im Gegensatz zu anderen AD-bezogenen Funktionen für diesen Zweck kein High-Level-Cmdlet bietet, so dass man Privilegien mit Hilfe eines 1-Zeilers vergeben könnte. Eine Alternative bietet hier Add-QADPermission aus den kostenlosen Dell PowerShell Commands for Active Directory.
Vergebene Rechte anzeigen und widerrufen
Die unzureichende Tools-Ausstattung für die Delegierung von AD-Rechten zeigt sich auch beim Reporting oder beim Entziehen von Privilegien. Will man herausfinden, wer beispielsweise befugt ist, Passwörter für die Benutzer einer bestimmten OU zurückzusetzen, dann gibt es dafür keine so komfortable Methode wie beim Zuweisen der Rechte.
Möchte man die an bestimmte Benutzer delegierten Rechte in einer OU anzeigen, dann muss man im ersten Schritt die Erweiterten Features in AD-Benutzer und -Computer aktivieren (im Menü Ansicht). Anschließend öffnet man Eigenschaften aus dem Kontextmenü der OU, wechselt zur Registerkarte Sicherheit und klickt auf die Schaltfläche Erweitert. Aus der anschließenden Übersicht kann man entnehmen, wer welche Rechte in der betreffenden OU besitzt. Hier kann man diese auch wieder entziehen.
Privilegien mit dsacls.exe anzeigen
Auf der Kommandozeile kann man sich die Rechte in einer OU mit Hilfe von dsacls.exe auch anzeigen lassen. Nachdem die Ausgabe des Befehls ziemlich unübersichtlich ist, wird man sie mit Hilfe von findstr filtern, um bestimmte Rechte anzuzeigen:
dsacls ou=Marketing,dc=contoso,dc=com /A | findstr "Reset Password"
Dieses Beispiel listet auf, wer in der OU Marketing Rechte hat und grenzt diese auf jenes ein, Passwörter zurückzusetzen. Auch ein Entziehen von Privilegien ist mit Hilfe von dsacls.exe unter Verwendung der Schalters /R möglich.
Tools für Endbenutzer
Ein weiteres Tools-Problem stellt sich dann, wenn Benutzer ihre Rechte ausüben und administrative Aufgaben übernehmen sollen. Grundsätzlich könnte sie dafür die gleichen Programme verwenden wie Administratoren. In der Praxis möchte man aber wahrscheinlich nicht auf den PCs von allen Mitarbeitern, die beim AD-Management helfen, RSAT installieren. Zudem sind die Tools relativ komplex und für Endbenutzer nicht ideal.
Hier kann Software von Drittanbietern die Lücke füllen. Für das Hinzufügen und Entfernen von Benutzern aus bzw. zu Gruppen empfiehlt sich etwa Group Manager von Chris Wright. Darüber hinaus existiert eine ganze Reihe kostenloser Tools für das Zurücksetzen von AD-Passwörtern.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Berechtigungen für Domain Join delegieren
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
- Gruppen in Azure AD: Security vs. Microsoft 365, dynamische vs. statische
- Rollen in Azure und Azure Active Directory
- Microsoft Exchange: Auflisten von Mitgliedern einer statischen Verteilergruppe verhindern
Weitere Links
4 Kommentare
Wenn jemand aus "wiederrufen" "widerrufen" machen könnte?
Danke für das aufmerksame Lesen, Fehler ist korrigiert!
Für AD Aufgaben Delegation/Self Service kann ich das Tool IDM-Portal von FirstWare nur empfehlen.
Sie können Benutzer/Gruppen anlegen/entfernen sowie auch Passwort zurücksetzen.
https://www.firstware.com/de/
Sieht in der Tat interessant aus. Vielen Dank für den Tip.