Delegierung von Berechtigungen in Active Directory und Aktivierung der Remote Server Administration Tools

Selbst wenn Benutzer nicht über Administratorrechte verfügen, besteht die Möglichkeit, bestimmte Aufgaben im Active Directory zu delegieren. Dieser Prozess ermöglicht es, ausgewählten Benutzern spezifische Verwaltungsaufgaben zu übertragen, beispielsweise für die Verwaltung von Gruppen und Mitgliedschaften in einer Domäne oder Organisationseinheit.

Im Folgenden werden die Schritte zur Delegierung von Berechtigungen in Active Directory und zur Aktivierung der Remote Server Administration Tools (RSAT) auf einem Windows 10-Client beschrieben.

Teil 1: Delegierung von Berechtigungen in Active Directory

Um Nutzer für die Gruppenverwaltung zu berechtigen, können Sie den folgenden Prozess verwenden. Dieser Prozess ermöglicht es Ihnen, bestimmte Aufgaben an einen Benutzer zu delegieren, der nicht ein Administrator ist, um die Verwaltung von Gruppen und Mitgliedschaften in Ihrer Domäne oder einer Organisationseinheit zu erleichtern.

1. Öffnen Sie die "Active Directory-Benutzer und -Computer"-Konsole auf einem Domänencontroller.

2. Wählen Sie die Domäne oder die Organisationseinheit (OU) aus, für die Sie Berechtigungen delegieren möchten.

Abbildung 1 Active Directory Users and Computers

Klicken Sie mit der rechten Maustaste und wählen Sie "Delegierung der Verwaltung".

Abbildung 2 Delegate Control

3. Fügen Sie die Benutzer hinzu, denen Sie Berechtigungen erteilen möchten.

4. Wählen Sie anschließend die zu vergebende Rechte aus. In diesem Szenario wurden die Berechtigungen Create, delete and manage groups sowie die Berechtigung Modify the membership of a group gewählt.

Abbildung 3 Delegation of Control Wizard

5. Wählen Sie anschließend Next > Finish um die Delegation abzuschließen.

Um aus Sicherheitsgründen den Zugriff von Standardnutzerkonten auf den Domain Controller zu verhindern, empfiehlt es sich, die Remote Server Administration Tools (RSAT) auf einem Windows 10 Client zu installieren. Dadurch erhalten Sie die Möglichkeit, auf das Active Directory zuzugreifen. Die Verwaltung über RSAT ist das empfohlene Szenario und wird aus Sicherheitsgründen der direkten Anmeldung am DC bevorzugt. Die folgende Anleitung zeigt Ihnen, wie Sie dies umsetzen können:

Teil 2: Aktivierung der Remote Server Administration Tools (RSAT) auf Windows 10

Die Installation der RSAT-Tools hat sich seit Windows Version 1809 geringfügig geändert. Die Tools sind nun ein Teil des Betriebssystems und können über die Optionale Features aktiviert werden. Im Folgenden finden Sie die Schritte zur Aktivierung der RSAT-Tools:

1. Klicken Sie auf das Windows-Startmenü.

2. Wählen Sie "Einstellungen".

3. Klicken Sie auf "Apps".

4. Wählen Sie den Reiter "Optionale Features".

Abbildung4 Optional features

5. Klicken Sie auf das Feld "Feature hinzufügen".

6. Geben Sie in die Suchleiste den Begriff "RSAT" ein.

Abbildung 5 Add an optional feature

Sie finden nun eine Liste von Remote-Verwaltungstools, die für die Installation verfügbar sind. Wählen Sie RSAT: Active Directory Domain Services and Lightweight Directory Services Tools aus, und klicken Sie auf "Installieren". Nach Abschluss der Installation stehen Ihnen die RSAT-Tools zur Verwaltung des ADs (AD Users and Computers) zur Verfügung.

Wenn Sie auf "Start" klicken und dann unter "W" zu den "Windows-Verwaltungstools" navigieren, finden Sie dort die RSAT-Tools.

Abbildung 6 Start Administrative Tools


Abbildung 7 RSAT Administrative Tools