• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Active Directory Delegation mit DSACLS

Sep 29, 2014 (Letztes Update) | Posted by Jens Fiedler Administration, Tools |

 

DSACLS bedeuted soviel wie Domain bzw. Directory Services Access Control Lists. Das Tool ist Kommandozeilen basiert und dient der Steuerung von Zugriffsberechtigungen.

Bei vielen Active Directory Migrationsprojekten wird neben der reinen Nutzerdatenmigration meistens auch eine Neuorganisation des Administrationskonzeptes vorgenommen. Dabei müssen die Delegationsberechtigungen auf die neu geschaffenen Organisationsstrukturen im Active Directory implementiert werden.

Im Folgenden werden Möglichkeiten der Delegation vorgestellt. Anschließend folgen Beispiele mit DSACLS.

 

Delegation mit dem Delegation of Control Wizard

Der Delegation of Control Wizard der Active Directory Users und Computers Console ist den meisten Administratoren sicher bekannt.

DSACLS Delegation Control

Vorteil: Dieser Wizard ist sehr komfortabel und für das gelegentliche Einrichten von Delegationen mit Standardberechtigungen sehr hilfreich.

Nachteil: Zum Aufbau einer Delegationsstruktur ist der Wizard aber zu umständlich und zu wenig granular einstellbar.

 

Delegationsstrukturen mit DSCALS

Eine weitere Möglichkeit biete das Command Line Tool DSACLS.exe. Dieses Tool ist ab Windows Server 2008 integriert und mit der Installation der AD DS Server Rolle verfügbar.

DSACLS-Command-Prompt

Dieses Tool muss in einer Command Console ausgeführt werden die als Administrator gestartet wurde. Dann können auf beliebige Active Directory Objekt Grant /G oder Deny /D Rechte für bestimmte Gruppen oder Nutzer gesetzt werden. Dabei können unterschiedliche Optionen angegeben werden, die Bandbreite geht von Vollzugriff bis zur Vergabe von Schreibberechtigungen auf einzelne Attribute.

Die Basis-Syntax ist dabei:

1
Dsacl „Objekt-DN“ /I:[T|S|P] /G <PermissionStatement> [<PermissionStatement>]

Ein Permission Statement ist aufgebaut nach der Syntax:

1
User|Group:Permission:ObjectType|Property

Eine detaillierte Beschreibung der Syntax mit allen Optionen findet man im Technet von Microsoft.

 

Hinweis zur Konzeption von Delegationsberechtigungen

Berechtigungen sollten, wenn möglich, immer additiv vergeben werden. D.h. bestimmten Rollen sollten ausschließlich mehr Berechtigungen vergeben werden, sprich Schreibberechtigungen. Es sollte vermieden werden Deny-Berechtigungen zu vergeben, denn das Active Directory ist grundsätzlich ein informierendes Verzeichnis in dem jedes Active Directory Mitglied standardmäßig auf viele Informationen lesenden Zugriff hat. Es sollte vermieden werden diesen Lesezugriff einzuschränken. Dies kann unvorhergesehene Nebeneffekte hervorrufen.

 

Beispiele für die Anwendung von DSACLs

Im Folgendenen soll an zwei Beispielen die Verwendung von DSACLS näher erläutert werden:

  1. Die Benutzer- und Berechtigungsverwaltung soll neue Nutzer anlegen können
  2. Der Helpdesk soll Passwörter zurücksetzen können

 

Benutzer- und Berechtigungsverwaltung – Benutzeranlage

Wenn nun zum Beispiel die Benutzer- und Berechtigungsverwaltung das Recht bekommen soll neue Nutzer anzulegen sehe das wie folgt aus.

1
<b>dsacls "ou=users,ou=de,ou=corp,dc=contoso,dc=com" /I:T /G "CONTOSO\AR-BBV-DE:CC;user"</b>

Damit wird auf der OrganizationalUnit „ou=users,ou=de,ou=corp,dc=contoso,dc=com“ die Gruppe AR-BBV-DE berechtigt Child-Objekte vom Typ User zu erstellen (CC: Create a child object).  Die Vererbung /I:T bedeutet dass dieses Recht auf die OU und alle Unterobjekte vererbt wird.

 

HelpDesk – Password Reset und Entsperrung

In diesem Beispiel wird an den HelpDesk die Berechtigung zum Password Reset und dem Entsperren von Nutzerkonten vergeben.

1
<b>dsacls "ou=corp,dc=contoso,dc=com" /I:S /G "CONTOSO\AR-HELPDESK-ALL:CA;Reset Password;user" "CONTOSO\AR-HELPDESK-ALL:WP;pwdLastSet;user" "CONTOSO\AR-HELPDESK-ALL:WP;lockoutTime;user"</b>

Mit CA (Control Access) wird Zugriff auf ein erweitertes Recht gewährt. In diesem Beispiel auf „Reset Password“. Mittels der Anweisung WP (Write to a property) kann zum einen die Eigenschaft „pwdLastSet“ durch den HelpDesk beschrieben werden. Damit kann der HelpDesk dem Nutzer die Anweisung geben sein Password bei der nächsten Anmeldung ändern zu müssen. Dazu wird der Wert von der Users und Computers Console auf 0 gesetzt. Mit dem Recht zum Beschreiben der Eigenschaft „lockoutTime“ kann der HelpDesk einen gesperrten Nutzer wieder entsperren indem der „lockoutTime“ Wert auf 0 gesetzt wird.

 

Fazit

Die beiden Beispiele zeigen bereits, wie mächtig und flexibel DSACLS ist.

Es kann angwendet werden auf:

  • OrganizationalUnits
  • Container
  • jeden Objekttyp der im Active Directory Schema enthalten ist

Die Berechtigungen können generell oder auf einzelne Attribute gesetzt werden, mit jedem Vererbungsmodus.

Hat man die Delegationsstruktur konzeptionell durchgeplant, bietet DSACLS einen einfachen Weg um dieses Konzept in eindeutige technische Regeln umzusetzen. Für jede Delegationsrolle kann so z.B. ein Berechtigungs-Template als CMD-Script erstellt werden. Dieses kann für jede neue Unterorganisation wiederverwendet werden. Außerdem sind die Templates auch ein gutes Backup um verbogene Berechtigungen aus dem Delegationskonzept wieder herzustellen.

Zur Delegation der Benutzeranlage oder anderer Routineaufgaben hat sich das Programm FirstWare-Admin als sehr flexibel und effizient dargestellt.

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 03.01.2014
Tags: ACLDelegationDSACLS
0

You also might be interested in

adminsdholder-titleJPG

AdminSDHolder – Delegation auf Admin Accounts einrichten?

Apr 15, 2015

Hin und wieder kommt es vor, dass Mitarbeiter der Benutzerverwaltung[...]

AD basiertes Intranet Telefonbuch

AD basiertes Intranet Telefonbuch

Dez 1, 2014

Ich möchte Euch kurz vorstellen, wie man mit Hilfe des[...]

PowerShell-Gruppen-Manager

PowerShell – Gruppen-Manager Berechtigung setzen

Jan 31, 2018

Die Verwaltung von AD-Gruppen muss nicht in IT-Händen liegen. Die Funktion ‚Gruppen-Manager‘[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next