Selbst wenn Benutzer nicht über Administratorrechte verfügen, besteht die Möglichkeit, bestimmte Aufgaben im Active Directory zu delegieren. Im heutigen Blogbeitrag stellt unser Mitarbeiter Tim Schelling eine Anleitung bereit, um AD-Verwaltungsaufgaben an Nutzer zu delegieren.
WeiterlesenStändig braucht man Sie, meistens werden Sie falsch verwendet oder völlig vernachlässigt. Die Rede ist von Service Accounts. Bei nahezu jeder Installation werden Service Accounts verwendet. In vielen Fällen benutzen Administratoren dafür Domänenaccounts. Häufig mit Domänenadministratorrechten und richten alle Accounts mit dem gleichen Passwort ein. Oftmals werden diese Accounts darüber hinaus so konfiguriert, dass diese von der Passwortänderungspolicy ausgenommen sind. Dieses Vorgehen stellt offensichtlich ein enormes Sicherheitsrisiko dar.
WeiterlesenIn meinen Blogeinträgen habe ich die Möglichkeiten vorgestellt, wie man eigene Attribute im AD erstellen kann, sie versteckt bzw. nur für wenige User sichtbar macht. Diese Lösung funktionierte bis Server 2008R2 problemlos. Mit Server 2012 gab es ein paar kleinere Änderungen am Verhalten des ADs, wodurch die Lösung so nicht mehr ganz praktikabel erscheint. Im Folgenden werde ich kurz die wichtigsten Änderungen auflisten und erklären, wie man auf das neue Verhalten reagieren muss.
WeiterlesenIn meinem letzten Blogeintrag habe ich erklärt, wie die verschiedenen Befehle aussehen, die eine Benutzerverwaltung im AD und Exchange ermöglichen. Hier zeige ich nun, wie man sich nur mit PowerShell Befehlen eine kleine Oberfläche (GUI) baut, um das Handling weiter zu verbessern.
WeiterlesenWer kennt es nicht. Um einen neuen Mitarbeiter vollständig im AD anzulegen, muss der Benutzer angelegt, dann in sehr viel verschieden Gruppen eingefügt und einem Postfach im Exchange zugewiesen werden. Da der letzte Mitarbeiter aber schon vor über 3 Monaten eingestellt wurde, weiß niemand mehr genau, was alles gemacht werden muss. Die einfachste Möglichkeit ist hier, eine Doku zu schreiben, an die sich alle halten müssen. Ich stelle hier nun eine weitere Möglichkeit vor. Ein Skript, dass mit allen nötigen Daten gefüttert wird und dann alles selbständig ausführt.
WeiterlesenIn einem vorangegangen Artikel Attribute im AD verstecken und eigene Attribute erstellen habe ich bereits erklärt, wie Attribute im AD durch die Markierung confidential versteckt werden können. Dadurch haben nur noch Administratoren Leserechte auf das Attribut.Nun gibt es manchmal die Situation, bei der man ausgewählten Benutzern bzw. Gruppen das Lesen erlauben möchte, ohne Sie gleich zu Administratoren zu machen.
Weiterlesen