So delegieren Sie Kennwortrücksetzberechtigungen für Ihre IT-Mitarbeiter - Wie Man

So delegieren Sie Kennwortrücksetzberechtigungen für Ihre IT-Mitarbeiter

Eine der Stärken von Active Directory oder zumindest der Verwaltungsteil davon ist die Möglichkeit, Berechtigungen zum Ändern verschiedener Aspekte des Verzeichnisses an Benutzer mit niedrigeren Berechtigungen zu delegieren.

Zu diesem Zweck geben viele IT-Shops die Möglichkeit, Benutzerpasswörter über bestimmte Abteilungen an ihre Support-Desks oder Manager zurückzusetzen.

So richten Sie eine Delegierung für eine Gruppe von Benutzern ein, um Kennwörter für eine andere Untergruppe von Benutzern in einer bestimmten Organisationseinheit festlegen zu können.

Wenn Sie nicht über eine etwas aufgeräumte OU-Struktur verfügen (d. H., Ihre Benutzer sind nicht in einer logischen Struktur angeordnet), können Probleme bei der Bestimmung der richtigen Implementierung auftreten.

Ich schlage vor, Sie schauen sich Ihr OU-Layout an und ermitteln, was für Sie am besten funktioniert.

6 Schritte insgesamt

Schritt 1: Stellen Sie sicher, dass Sie über die AD Users Console verfügen


Sie können die Gruppe "Verwaltung" in Ihrem Windows-Startmenü überprüfen, um festzustellen, ob das Symbol "Active Directory-Benutzer und -Computer" vorhanden ist. Wenn ja, fahren Sie mit dem nächsten Schritt fort.

Es wird empfohlen, dies von Ihrer Workstation aus zu tun. Sie finden Ihre spezifischen RSAT-Tools hier: https://wiki.samba.org/index.php/Installing_RSAT

*** Mir ist klar, dass dies eine Site für Samba ist, aber sie halten eine nette, aktualisierte und konsolidierte Liste im Gegensatz zu Microsoft!

Wenn Sie möchten, können Sie diese Schritte auch über Ihren Domänencontroller ausführen.

Schritt 2: Starten Sie den Delegation of Control-Assistenten, und wählen Sie den zu delegierenden Benutzer oder die Gruppe aus

Öffnen Sie den ADUC, suchen Sie nach Ihrer Domänenstruktur und navigieren Sie zur obersten Ebene, für die Sie Benutzerberechtigungen anwenden möchten (z. B. "Domänenbenutzer" an meinem Arbeitsplatz). Klicken Sie mit der rechten Maustaste> "Steuerung delegieren".

Klicken Sie im Begrüßungsdialogfeld auf "Weiter".

Klicken Sie im Dialogfeld Benutzer oder Gruppen auf die Schaltfläche "Hinzufügen ...". Sie werden aufgefordert, einen Benutzer oder eine Gruppe hinzuzufügen, auf die Sie delegierte Rechte anwenden.

Geben Sie im Dialogfeld "Benutzer, Computer oder Gruppen auswählen" entweder den Namen des Objekts ein (verwenden Sie Domäne Benutzername oder Domäne Gruppenname, um die besten Ergebnisse zu erhalten), oder klicken Sie auf "Erweitert"> "Suchen", um die Ressource zu suchen, auf die Sie Berechtigungen anwenden möchten .

Wenn Sie Ihre Ressource (n) ausgewählt haben, klicken Sie im Dialogfeld "Benutzer, Computer oder Gruppen auswählen" auf "OK" und anschließend im Dialogfeld "Benutzer oder Gruppen" auf "Weiter".

Schritt 3: Delegieren Sie Ihre Aufgabe (n)


Im Dialogfeld Zu delegierende Aufgaben können Sie aus einer breiten Palette von Aufgaben auswählen, die Sie Ihren Benutzern zuweisen möchten.

***** Wenn Sie NUR die Aufgabe zum Zurücksetzen des Passworts delegieren möchten ****
Vergewissern Sie sich, dass das Optionsfeld "Folgende allgemeine Aufgaben delegieren" aktiviert ist, und wählen Sie "Benutzerkennwörter zurücksetzen und Kennwortänderung bei der Anmeldung erzwingen", und klicken Sie auf die Schaltfläche "Weiter".

Weiter mit Schritt 4.

**** Wenn Sie zusätzlich die Fähigkeit zum Aktivieren / Deaktivieren von Benutzerkonten delegieren möchten ****
Aktivieren Sie das Optionsfeld "Benutzerdefinierte Aufgabe zum Delegieren erstellen" und klicken Sie auf "Weiter".

Aktivieren Sie das Optionsfeld "Nur die folgenden Objekte im Ordner", wählen Sie "Benutzerobjekte" aus und klicken Sie auf die Schaltfläche "Weiter".

Aktivieren Sie im Dialogfeld "Berechtigungen" die Kontrollkästchen "Allgemein" und "Eigenschaftsspezifisch", und überprüfen Sie in der folgenden Liste die folgenden Berechtigungen:

Ändere das Passwort
Passwort zurücksetzen
Lesen Sie userAccountControl
Schreiben Sie userAccountControl

Klicken Sie auf die Schaltfläche "Weiter".

Schritt 4: Schließen Sie den Assistenten zum Delegieren der Steuerung ab


Wenn Sie mit dem Delegieren Ihrer Aufgaben fertig sind, können Sie im Dialogfeld Fertigstellen des Steuerungsassistenten auf die Schaltfläche "Fertig stellen" klicken.

Jetzt sollten die Benutzer, an die Sie diese Aufgaben delegiert haben, in der Lage sein, Kennwörter für die Objekte in der Organisationseinheit zurückzusetzen (oder andere von Ihnen angegebene Aktionen auszuführen), in denen Sie die delegierten Berechtigungen eingerichtet haben.

Schritt 5: Optional: Entfernen von delegierten Berechtigungen

Das Entfernen von Berechtigungen, die nicht ordnungsgemäß angewendet wurden, ist nicht derselbe Vorgang wie das Anwenden von Berechtigungen. Sie können Berechtigungen entfernen, indem Sie mit der rechten Maustaste auf die Organisationseinheit klicken, auf die Sie die delegierten Berechtigungen angewendet haben> Eigenschaften.Klicken Sie auf die Registerkarte "Sicherheit".

Klicken Sie auf die Schaltfläche "Erweitert".

Sie gelangen zum Dialogfeld Erweiterte Sicherheitseinstellungen für Domänenbenutzer.

Suchen Sie im Abschnitt "Berechtigungseinträge" nach der Gruppe oder dem Benutzer, an den Sie Ihre Berechtigungen delegiert haben. Markieren Sie das Objekt und klicken Sie auf "Entfernen". Wenn Sie Ihre Berechtigungen auf einer höheren Ebene in der OU-Struktur angewendet haben, können Sie sie nicht von dieser Ebene entfernen, ohne die Sicherheitsvererbung zu brechen (was ich NICHT empfehlen würde). Gehen Sie einfach eine andere Ebene in der OU-Struktur auf und überprüfen Sie die Berechtigungen dort.

Schritt 6: Optional: Sperren Sie das Zurücksetzen der Kennwörter vertraulicher Konten durch Benutzer


Ich habe festgestellt, dass dies der beste Weg ist (andere können dies kommentieren!), Indem Sie unter der OU-Struktur, in der Sie Ihre Berechtigungen angewendet haben, eine untergeordnete Organisationseinheit erstellen und dann Berechtigungen auf dieser Ebene explizit ablehnen Netzwerkadministratoren als Beispiel.

In meiner OU-Struktur habe ich eine Organisationseinheit mit dem Namen 'IT'. Dann habe ich eine neue Organisationseinheit unter der Bezeichnung 'Netzwerkadministratoren' erstellt.

Klicken Sie mit der rechten Maustaste auf die Organisationseinheit "Netzwerkadministratoren"> "Eigenschaften", und klicken Sie dann auf die Registerkarte "Sicherheit". Klicken Sie auf die Schaltfläche "Erweitert" und doppelklicken Sie dann auf die Ressource, an die Sie Ihre Berechtigungen delegiert haben.

Sie können dann delegierten Benutzern etwaige Kennwortänderungen usw. verweigern, indem Sie die entsprechende Berechtigung in der Liste "Berechtigungen" suchen und jeweils das Kontrollkästchen "Verweigern" aktivieren.

In diesem Beispiel haben Domänen-Admins weiterhin die Möglichkeit, Kennwörter für unsere Netzwerkadministratorkonten zu ändern / zurückzusetzen. Dies gilt jedoch nicht für die IT-Support-Gruppe (in unserem Beispiel).

Das Delegieren von Berechtigungen ist eine sehr gute Möglichkeit, um Ihrem Helpdesk, Managern oder anderen Power-Usern die Möglichkeit zu geben, Sie mit IT-Mitteln zu unterstützen, die Ihren Tag beanspruchen können, wodurch es schwierig wird, sich auf wichtige oder andere interessante Aufgaben zu konzentrieren.