PowerShell – Gruppen-Manager Berechtigung setzen

(Letztes Update) | Posted by | PowerShell |

 

PowerShell – Gruppen-Manager Berechtigung setzen

Die Verwaltung von AD-Gruppen muss nicht in IT-Händen liegen. Die Funktion ‘Gruppen-Manager’ wird gerne verwendet, wenn ein Nicht-IT-Mitarbeiter im Unternehmen eine Gruppe verwalten soll. So zum Beispiel soll der Abteilungsleiter entscheiden können, welcher Mitarbeiter in einem bestimmten Verteiler (also einer Distribution-Group) enthalten ist. 

Manager can update membership list

Dazu kann dieser in der Active Directory Benutzer und Computer Konsole als Manager der Gruppe eingetragen werden und der Haken bei „Manager can update membership list“ gesetzt werden. Der Nutzer kann dann die Mitglieder hinzufügen und entfernen, die Gruppe sonst aber nicht bearbeiten.

Manager can update membership list

Soweit, so einfach. Doch wie funktioniert das, wenn man diese Berechtigung über PowerShell setzen möchte? Das gestaltet sich ein wenig umständlicher.

Gruppen-Manager Berechtigung mit PowerShell

Die Auswahl der Checkbox „Manager can update membership list“ bedeutet nicht einfach das Setzen eines Attributs an der Gruppe. Vielmehr verändert sich dadurch die ACL (Access Control List) der Gruppe. Das kann man auch im Security-Tab der Gruppe sehen. Im Prinzip verhält es sich hier genauso wie mit Berechtigungen auf Ordner.

Nutzer als Manager setzen

Gehen wir davon aus, dass unsere Gruppe „VL_ManagerTest“ heißt.  Der Nutzer, der Manager werden und die Berechtigungen zum Ändern der Mitglieder erhalten soll, heißt „darth.vader“. In unserem Powershell-Script gehen wir wie folgt vor.

Nutzer als Manager bestimmen

Als erstes setzen wir diesen Nutzer als Manager. Dazu müssen wir das „managedBy“-Attribut der Gruppe füllen. In diesem muss allerdings der distinguishedName des Nutzers stehen. Deswegen müssen wir diesen vorher heraussuchen und dann setzen. Das Skript dazu sieht folgendermaßen aus:

Damit haben wir den Manager gesetzt. Jetzt braucht dieser noch die entsprechende Berechtigung.

Erstellen einer AccessRule

Dazu müssen wir eine AccessRule für diesen Nutzer der ACL der Gruppe hinzufügen. Zum Erstellen einer ActiveDirectoryAccessRule brauchen wir dabei vier Informationen:

  • Das Schema-Objekt, für das diese AccessRule zutrifft
  • Die SID des Nutzers, für den die Regel gilt
  • Die Art der Regel (Zulassen/Verweigern)
  • Die Rechte, die gesetzt werden sollen

Das Schema-Objekt, das wir hier brauchen ist „Self-Membership“.

Active-Directory-Delegation-Powershell

Self-Membership

Dieses Objekt hat eine sogenannte „rightsGuid“, die wir für unsere ActiveDirectoryAccessRule brauchen. Die GUID ist über alle ADs gleich und ist in der ADSI-Edit unter

Configuration -> Extended Rights -> Self-Membership -> Properties -> rightsGuid

zu finden. Eine schnelle Google-Suche führt allerdings zum gleichen Ergebnis:

Self-Membership

Als erstes also speichern wir uns diese GUID in einer Variablen ab.

SID des Nutzers

Die nächste Information, die wir brauchen, ist die SID des Nutzers. Da wir diesen vorhin schon ausgelesen haben, müssen wir nur den Typ von String in SecurityIdentifier umwandeln.

Die letzten zwei Informationen sind die Art des Zugriffs und die Rechte, die wir setzen wollen.

Zugriffsrechte des Nutzers

Die Art des Zugriffs ist klar: Es sollen bestimmte Berechtigungen zugelassen werden. Die Berechtigungen, die hier benötigt werden, sind „Write“ und „Extended Rights“. Und so sieht das in PowerShell aus:

Jetzt, da wir alle benötigten Informationen haben, können wir die Regel erstellen:

Erstellen einer ActiveDirectoryAccessRule

Im letzten Schritt müssen wir jetzt unsere neu erstellte Regel der ACL der Gruppe hinzufügen. Dazu müssen wir zuerst die vorhandene ACL auslesen:

Dieser ACL fügen wir unsere neu erstellte Regel hinzu und überschreiben dann die ACL der Gruppe mit unserer modifizierten ACL:

Damit haben wir es geschafft. Nach Aktualisierung sollte in den Eigenschaften der Gruppe unter „managedBy“

  • der neue Nutzer stehen und
  • der Haken bei „Manager can update membership list“ gesetzt sein.

 

Gruppenverwaltung an Nicht-IT Mitarbeiter delegieren

Die Bearbeitung von Gruppen kann an einen Gruppen-Manager oder auch eine Gruppe von Personen (z.B. HR) delegiert werden. Es gibt auch einen weiteren, besonders benutzerfreundlicher Weg.

Die Delegation der AD Berechtigungsverwaltung ist mit dem FirstWare IDM-Portal über eine leichtverständliche Web-Oberfläche möglich. In Rollen wird definiert werden, welche Gruppen gesehen oder bearbeitet werden können. Die Rollen selbst werden wiederum auf AD Gruppen gemappt.

Die eigentliche Bearbeitung von Gruppenmitgliedschaften erfolgt dann per Drag n Drop. Wer was sehen und tun darf, wird so eingeschränkt, wie benötigt.

IDM-Portal-Gruppen-Manager

FirstWare IDM-Portal: Gruppendelegation

Das IDM-Portal wird von den Machern von active-directory-faq.de entwickelt und ermöglicht u.a. AD Delegation für Anwender.

Das komplette Skript: Gruppen-Manager Berechtigung setzen mit PowerShell

Zum Abschluss hier noch das komplette Skript:

 

FirstAttribute AG

 
FirstAttribute AG – Ihr Microsoft Consulting Partner

Wir unterstützen Sie bei Active Directory Fragen. 
Nehmen Sie Kontakt zu uns auf.
  

 

Artikel erstellt am: 31.01.2018
Tags:

You also might be interested in

OUs einfach exportieren und importieren

OUs einfach exportieren und importieren

Wer kennt es nicht? Man braucht eine Kopie der Struktur[...]

PowerShell – Zufälliges Passwort nach eigenen Vorgaben generieren

PowerShell – Zufälliges Passwort nach eigenen Vorgaben generieren

Passwörter sind immer Diskussionsthema in der IT-Sicherheit. Wie sind die[...]

Azure Active Directory PowerShell Version 2

Azure Active Directory PowerShell Version 2

Microsoft hat die PowerShell cmdlets zur Verwaltung des AzureAD aktualisiert.[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

AD Gruppen dynamisch machen

© 2019 · Active-Directory-FAQ by firstattribute.com