• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

PowerShell – Gruppen-Manager Berechtigung setzen

Feb 7, 2018 (Letztes Update) | Posted by Steve König PowerShell |

 

PowerShell – Gruppen-Manager Berechtigung setzen

Die Verwaltung von AD-Gruppen muss nicht in IT-Händen liegen. Die Funktion ‚Gruppen-Manager‘ wird gerne verwendet, wenn ein Nicht-IT-Mitarbeiter im Unternehmen eine Gruppe verwalten soll. So zum Beispiel soll der Abteilungsleiter entscheiden können, welcher Mitarbeiter in einem bestimmten Verteiler (also einer Distribution-Group) enthalten ist. 

Inhaltsverzeichnis

  • 1 Manager can update membership list
  • 2 Gruppen-Manager Berechtigung mit PowerShell
    • 2.1 Nutzer als Manager bestimmen
    • 2.2 Erstellen einer AccessRule
  • 3 Gruppenverwaltung an Nicht-IT Mitarbeiter delegieren
  • 4 Das komplette Skript: Gruppen-Manager Berechtigung setzen mit PowerShell

Manager can update membership list

Dazu kann dieser in der Active Directory Benutzer und Computer Konsole als Manager der Gruppe eingetragen werden und der Haken bei „Manager can update membership list“ gesetzt werden. Der Nutzer kann dann die Mitglieder hinzufügen und entfernen, die Gruppe sonst aber nicht bearbeiten.

Manager can update membership list

Soweit, so einfach. Doch wie funktioniert das, wenn man diese Berechtigung über PowerShell setzen möchte? Das gestaltet sich ein wenig umständlicher.

Gruppen-Manager Berechtigung mit PowerShell

Die Auswahl der Checkbox „Manager can update membership list“ bedeutet nicht einfach das Setzen eines Attributs an der Gruppe. Vielmehr verändert sich dadurch die ACL (Access Control List) der Gruppe. Das kann man auch im Security-Tab der Gruppe sehen. Im Prinzip verhält es sich hier genauso wie mit Berechtigungen auf Ordner.

Nutzer als Manager setzen

Gehen wir davon aus, dass unsere Gruppe „VL_ManagerTest“ heißt.  Der Nutzer, der Manager werden und die Berechtigungen zum Ändern der Mitglieder erhalten soll, heißt „darth.vader“. In unserem Powershell-Script gehen wir wie folgt vor.

Nutzer als Manager bestimmen

Als erstes setzen wir diesen Nutzer als Manager. Dazu müssen wir das „managedBy“-Attribut der Gruppe füllen. In diesem muss allerdings der distinguishedName des Nutzers stehen. Deswegen müssen wir diesen vorher heraussuchen und dann setzen. Das Skript dazu sieht folgendermaßen aus:

PowerShell
1
2
$user = Get-ADUser darth.vader
Set-ADGroup „VL_ManagerTest“ -Replace @{managedBy=$user.DistinguishedName}

Damit haben wir den Manager gesetzt. Jetzt braucht dieser noch die entsprechende Berechtigung.

Erstellen einer AccessRule

Dazu müssen wir eine AccessRule für diesen Nutzer der ACL der Gruppe hinzufügen. Zum Erstellen einer ActiveDirectoryAccessRule brauchen wir dabei vier Informationen:

  • Das Schema-Objekt, für das diese AccessRule zutrifft
  • Die SID des Nutzers, für den die Regel gilt
  • Die Art der Regel (Zulassen/Verweigern)
  • Die Rechte, die gesetzt werden sollen

Das Schema-Objekt, das wir hier brauchen ist „Self-Membership“.

Active-Directory-Delegation-Powershell

Self-Membership

Dieses Objekt hat eine sogenannte „rightsGuid“, die wir für unsere ActiveDirectoryAccessRule brauchen. Die GUID ist über alle ADs gleich und ist in der ADSI-Edit unter

Configuration -> Extended Rights -> Self-Membership -> Properties -> rightsGuid

zu finden. Eine schnelle Google-Suche führt allerdings zum gleichen Ergebnis:

Self-Membership

Als erstes also speichern wir uns diese GUID in einer Variablen ab.

PowerShell
1
$guid = [guid]'bf9679c0-0de6-11d0-a285-00aa003049e2'

SID des Nutzers

Die nächste Information, die wir brauchen, ist die SID des Nutzers. Da wir diesen vorhin schon ausgelesen haben, müssen wir nur den Typ von String in SecurityIdentifier umwandeln.

PowerShell
1
$sid = [System.Security.Principal.SecurityIdentifier]$user.sid

Die letzten zwei Informationen sind die Art des Zugriffs und die Rechte, die wir setzen wollen.

Zugriffsrechte des Nutzers

Die Art des Zugriffs ist klar: Es sollen bestimmte Berechtigungen zugelassen werden. Die Berechtigungen, die hier benötigt werden, sind „Write“ und „Extended Rights“. Und so sieht das in PowerShell aus:

PowerShell
1
2
$ctrlType = [System.Security.AccessControl.AccessControlType]::Allow
$rights = [System.DirectoryServices.ActiveDirectoryRights]::WriteProperty -bor [System.DirectoryServices.ActiveDirectoryRights]::ExtendedRight

Jetzt, da wir alle benötigten Informationen haben, können wir die Regel erstellen:

PowerShell
1
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($sid, $rights, $ctrlType, $guid)

Erstellen einer ActiveDirectoryAccessRule

Im letzten Schritt müssen wir jetzt unsere neu erstellte Regel der ACL der Gruppe hinzufügen. Dazu müssen wir zuerst die vorhandene ACL auslesen:

PowerShell
1
2
3
$group = Get-ADGroup „VL_ManagerTest“
$aclPath = "AD:\" + $group.distinguishedName
$acl = Get-Acl $aclPath

Dieser ACL fügen wir unsere neu erstellte Regel hinzu und überschreiben dann die ACL der Gruppe mit unserer modifizierten ACL:

PowerShell
1
2
$acl.AddAccessRule($rule)
Set-Acl -acl $acl -path $aclPath

Damit haben wir es geschafft. Nach Aktualisierung sollte in den Eigenschaften der Gruppe unter „managedBy“

  • der neue Nutzer stehen und
  • der Haken bei „Manager can update membership list“ gesetzt sein.

 

Gruppenverwaltung an Nicht-IT Mitarbeiter delegieren

Die Bearbeitung von Gruppen kann an einen Gruppen-Manager oder auch eine Gruppe von Personen (z.B. HR) delegiert werden. Es gibt auch einen weiteren, besonders benutzerfreundlicher Weg.

Die Delegation der AD Berechtigungsverwaltung ist mit dem FirstWare IDM-Portal über eine leichtverständliche Web-Oberfläche möglich. In Rollen wird definiert werden, welche Gruppen gesehen oder bearbeitet werden können. Die Rollen selbst werden wiederum auf AD Gruppen gemappt.

Die eigentliche Bearbeitung von Gruppenmitgliedschaften erfolgt dann per Drag n Drop. Wer was sehen und tun darf, wird so eingeschränkt, wie benötigt.

IDM-Portal-Gruppen-Manager

FirstWare IDM-Portal: Gruppendelegation

Das IDM-Portal wird von den Machern von active-directory-faq.de entwickelt und ermöglicht u.a. AD Delegation für Anwender.

Das komplette Skript: Gruppen-Manager Berechtigung setzen mit PowerShell

Zum Abschluss hier noch das komplette Skript:

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#Manager setzen
$user = Get-ADUser darth.vader
Set-ADGroup „VL_ManagerTest“ -Replace @{managedBy=$user.DistinguishedName}
#RightsGuid
$guid = [guid]'bf9679c0-0de6-11d0-a285-00aa003049e2'
#SID des Managers
$sid = [System.Security.Principal.SecurityIdentifier]$user.sid
#ActiveDirectoryAccessRule erstellen
$ctrlType = [System.Security.AccessControl.AccessControlType]::Allow
$rights = [System.DirectoryServices.ActiveDirectoryRights]::WriteProperty -bor [System.DirectoryServices.ActiveDirectoryRights]::ExtendedRight
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($sid, $rights, $ctrlType, $guid)
#Gruppen-ACL auslesen, neue Regel hinzufügen und ACL der Gruppe überschreiben
$group = Get-ADGroup „VL_ManagerTest“
$aclPath = "AD:\" + $group.distinguishedName
$acl = Get-Acl $aclPath
$acl.AddAccessRule($rule)
Set-Acl -acl $acl -path $aclPath

 

FirstAttribute AG

 
FirstAttribute AG – Ihr Microsoft Consulting Partner

Wir unterstützen Sie bei Active Directory Fragen. 
Nehmen Sie Kontakt zu uns auf.
  

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 31.01.2018
Tags: Access Control ListAccessRuleACLGruppen-ACLGruppen-ManagerIDM-Portalmanaged-byPowerShellself-membership
1

You also might be interested in

Pester

Pester: Test-Framework für PowerShell

Feb 27, 2018

Neulich hat mich ein Kollege auf ein nettes kleines Tool[...]

PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler

PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler

Jun 20, 2018

Häufig gibt es die Anforderung, PowerShell Skripte periodisch auszuführen. Es[...]

QMM AD – Resource Update mittels Powershell – PowerRUM

QMM AD – Resource Update mittels Powershell – PowerRUM

Nov 12, 2014

Bei einer Active Directory Migration müssen alle Clients, soweit diese[...]

1 Comment

Leave your reply.
  • Kupfer Küchenmischbatterie
    · Antworten

    31. Dezember 2020 at 3:16 AM

    Ich lese sehr gerne Ihre Blog-Artikel

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next