• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD Gruppenverwaltung delegieren

Feb 16, 2022 (Letztes Update) | Posted by Elysabeth Yven Administration |

 

AD Gruppenverwaltung delegieren

Berechtigungen im AD zu verwalten, ist oft anstrengend. Es ist keine komplizierte Aufgabe, aber sie kommt häufig vor und der eine oder andere wäre sie gern los. So wäre es doch hervorragend, wenn wir die AD Gruppenverwaltung delegieren, z.B. an Helpdesk oder Fachabteilungen. Von dort kommen zumeist ja auch die Anforderungen.

Inhaltsverzeichnis

  • 1 AD Gruppen mit ADUC durch Helpdesk verwalten
    • 1.1 Das Beispielszenario
    • 1.2 AD Delegation Wizard für Gruppenverwaltung einrichten
    • 1.3 OU-basiertes Gruppen-Management durch Helpdesk
  • 2 Selbstpflegende AD Gruppenverwaltung delegieren
  • 3 AD Berechtigungsgruppen an Nicht-ITler abgeben
  • 4 Fazit

Damit wir die AD Gruppenverwaltung delegieren können, sollten aber einige Kriterien erfüllt sein:

  • Konzept, was darf und kann ich delegieren
  • Absichern, nur relevante Gruppen freigeben
  • Bereitstellen, technische Lösung etablieren
  • Vereinfachen, sicherstellen, dass der Anwender die Lösung benutzen kann

AD Gruppen mit ADUC durch Helpdesk verwalten

Wie lässt sich die Gruppenbearbeitung mit Bordmitteln, also der Active Directory Benutzer Konsole (ADUC), verteilen?
Zunächst ein ernüchternder Fakt:
Es gibt keine direkte Delegation von Gruppen mit Users and Computers. Es ist einfach nicht vorgesehen.

Wenn wir die Zugriffsrechte jeder Gruppe z.B. an einen Helpdesk delegieren möchten, müssen die Gruppen isolieren, die wir delegieren möchten.

Vereinfacht gesagt, wir benötigen eine Organizational Unit (OU), denn eine OU kann delegiert werden.

Das Beispielszenario

Nehmen wir zum besseren Verständnis  das Beispiel eines IT-Administrators aus einer weltweiten Unternehmenszentrale. Dieser möchte die Verwaltung aller Gruppen an die jeweilige Standort-IT delegieren. Wir beschränken uns mal auf den Standort Deutschland.

In unserer Beispielorganisation hat der IT-Admin ein OU „Groups“ für alle Berechtigungsgruppen. In dieser legt er für die Standorte einige Sub-OUs an. Jede dieser Sub-OUs beinhaltet ausschließlich die Gruppen eines Standorts, die wir delegieren sollen. Hier “DE Groups” für alle Gruppen die Deutschland betreffen.

AD Gruppenverwaltung delegieren - Standort OU delegieren

Mit dieser Methode kann der IT Admin die DE-Gruppenverwaltung nun an einen Helpdesk delegieren. Im nächsten Schritt geht es um die Einrichtung.

1
<a href="https://www.dynamicgroup.net/de/delegation-dynamische-sicherheitsgruppen/" target="_blank" rel="noopener noreferrer"><img class="alignnone wp-image-6819 " src="https://www.active-directory-faq.de/wp-content/uploads/2020/02/DynamicGroup_Banner-1024x154.png" alt="Selbstpflegende Gruppenmitgleidschaften delegieren - DynamicGroup" width="960" height="144" /></a>

AD Delegation Wizard für Gruppenverwaltung einrichten

In der ADUC gibt es den Active Directory Delegation of Control Wizard, kurz Delegation Wizard. Zunächst wählt der IT-Admin die OU aus, die er an der Helpdesk delegieren möchte, in unserem Fall “DE Groups”.

AD Gruppen Management delegieren - DE Groups delegieren

Mit Rechtsklick auf die OU wählt er “Delegate Control…” um den Wizard zu starten.
Nun entscheidet er welche Rechte der Helpdesk bekommt. Benötigt wird:

  • Create, delete, and manage groups
  • Modify the membership of a group

AD Delegation Wizard - Tasks to delegate Gruppenadministration

Mit dieser Lösung kann der IT-Admin die Gruppenverwaltung, allerdings nur an IT-nahe-Mitarbeiter wie z.B. die Helpdesk-Kollegen delegieren. Die AD Konsole ist für Anwender aus Fachbereichen zu technisch und unübersichtlich.
“Normale” Mitarbeiter müssten erst das Gruppenkonzept gut verstanden haben und brauchen längere Einarbeitungszeit. Für sie gibt es alternative Möglichkeiten (z.B. IDM-Portal).

OU-basiertes Gruppen-Management durch Helpdesk

Der Helpdesk kann nun die Gruppen in der freigegeben OU verwalten (anlegen, löschen, ändern und Mitglieder hinzufügen).
Einen kleinen Haken hat die Usability aber auch für Helpdesk-Anwender, denn:

  • es ist unübersichtlich, da relevante OUs und irrelevante sichtbar (gesamte AD-Tree).
  • es ist nicht ersichtlich, welche Objekte bearbeitet werden dürfen.
    Man muss versuchen die Gruppe zu ändern, um dies Dank Fehlermeldung festzustellen.
  • es kann nur mit Windows Server Zugang verwaltet werden.
    ADUC kann zwar auf Windows 10 installiert werden, aber erst ab Windows 10 Pro

Zwischenfazit:
Mit OU basierter Gruppendelegation spart der IT-Administrator seine eigene Zeit ein. Allerdings wird die AD Verwaltung nicht zwangsläufig schneller oder besser.

Selbstpflegende AD Gruppenverwaltung delegieren

Wie kann nun eine Delegation mit Produktivitätssteigerung umgesetzt werden?
Die Antwort ist Automatisierung von Gruppenmitgliedschaften – und damit echte Entlastung für Helpdesk und IT. Aber auch dynamische Sicherheitsgruppen, die selbst Ihre Mitglieder hinzufügen und entfernen, müssen einmal konfiguriert werden.

(siehe auch Artikel: Gruppenmitgliedschaften automatisieren)

Für die Delegation bestimmter Gruppen an den Helpdesk/lokale IT bietet sich DynamicGroup mit seinem Delegation Mode an. Grundsätzlich kann DynamicGroup normale als auch dynamische Gruppen verwalten.

Der Delegation Mode von DynamicGroup basiert ebenfalls auf OUs. Die Einrichtung der “Delegationsrolle” erfolgt auch hier nativ mit dem AD Delegation Wizard, bringt aber einige Vorteile im Ergebnis mit sich:

    1. Delegierte sehen nur OUs für die sie Gruppenberechtigungen haben.
      Dies erhöht die Übersicht und blendet Unnützes aus.

       

      Der Helpdesk sieht nur die OUs, die er verwalten kann. In unserem Fall die DE-Groups OU mit Ihren Gruppen:

      AD Gruppenverwaltung delegieren mit DynamicGroup - Standort IT

    2. Automatische Gruppen können mit allen verfügbaren Funktionen erzeugt werden, der Service lässt sich aber nur durch vollwertige Admins einrichten oder verändern.
    3. Nur eine Berechtigung ist für die Delegierung erforderlich:
      Create, delete, and manage groups.

       

      AD Delegation Wizard - Gruppenadministration delegieren mit DynamicGroup

    4. Auch auf einem normalen Windows 10 Client können Sie die DynamicGroup Console installiert und nutzen.

Mit dynamischen Gruppen steigt die Produktivität dank Automatisierung der Gruppenmitgliedschaften.

Zwischenfazit:
Sowohl zentrale IT, als auch lokale Administratoren / Helpdesk werden durch automatische Sicherheitsgruppen entlastet. Für die Headquarter-IT kann es sich lohnen, die Erstellung und Konfiguration der dynamischen Gruppen an den jeweiligen Standort zu delegieren.

AD Berechtigungsgruppen an Nicht-ITler abgeben

Beide bisher besprochenen Varianten eignen sich nicht für Mitarbeiter ohne AD-Kenntnisse.
Die Verwaltung von Active Directory Gruppen lässt sich dennoch sehr einfach an Abteilungsleiter übergeben, auch ohne spezielle IT-Kenntnisse.

Wir, die Macher von Active-Directory-FAQ haben dafür das IDM-Portal entwickelt. Es handelt sich dabei um ein Identity Management Portal, das direkt auf dem Active Directory basiert.

Die Software ist speziell für Delegation und Self Service konzipiert und bietet daher eine besonders benutzerfreundliche Oberfläche an.

Ein typisches Beispiel von Delegation 
Wir haben ein Vorgesetzter einer Fachabteilung, der bestimmte Abteilungsberechtigungen verwalten soll.

Es wird eine Fachbereichs-Rolle angelegt, der alle relevanten Gruppen bearbeiten kann.
Sichtbar sind nun:

  • verfügbare Gruppen
  • Mitarbeiter, die verwaltet werden dürfen
  • nur die Informationen, die relevant und konfiguriert sind

Praktisch hierbei:
Gruppenmitgliedschaften können wir sowohl aus Sicht der Gruppe, als auch aus Sicht eines Benutzers ändern.

Der Vorgesetzte kann nun Anwender zu einer Gruppe hinzufügen oder daraus entfernen – einfach per ‚drag & drop‘.

AD Gruppenverwaltung delegieren - IDM-Portal

Im IDM-Portal ist die Delegation nach Rollen organisiert. Weitere Informationen über die Rollenbasierten Berechtigungen können Sie hier finden.

Fazit

Die Active Directory Gruppenverwaltung ist zeitaufwändig und technisch. Die Delegation an Helpdesk oder Nicht-IT-Mitarbeiter ist schwierig oder gar nicht möglich. 

Mit Software-Lösungen wie DynamicGroup oder IDM-Portal können Sie die AD Gruppenverwaltung delegieren und automatisieren. Besonders mit IDM-Portal können auch Nicht-IT-Mitarbeiter, AD Daten pflegen. Die Verwaltung von Active Directory ist damit deutlich einfacher und schneller.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 25.02.2020
1

You also might be interested in

Azure Active Directory PowerShell Version 2

Azure Active Directory PowerShell Version 2

Aug 29, 2017

Microsoft hat die PowerShell cmdlets zur Verwaltung des AzureAD aktualisiert.[...]

SharePoint Log-Dateien analysieren

Apr 4, 2013

Wir sind gerade in einem Projekt tätig, bei dem wir[...]

nächst gelegenen domain controller finden

PowerShell: Nächstgelegenen DC finden – NextClosestSite

Jul 31, 2015

Zur Zeit unterstütze ich einen größeren Konzern bei einer Migration.[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next