Letzte Aktualisierung am 22.07.2024, 21:07:46 Uhr
In gewissen Unternehmensgrößen kann es sinnvoll, Arbeiten wie Kennwort zurücksetzen oder Konto entsperren, an Abteilungsleiter oder User Help Desk (UHD) zu delegieren. Das Ganze ist eigentlich ein Hexenwerk, wenn man sich im Active Directory auskennt. Nachfolgend eine kurze Anleitung wie man einer AD-Gruppe die Rechte zuweist:
Auf einem Domain Controller das Snapin „Active Directory-Benutzer und -Computer“ starten. Danach die Domäne oder die Organisationseinheit markieren, die man delegieren möchte. Rechtsklick und dort „Objektverwaltung zuweisen…“
Im nächsten Schritt einen Benutzer oder Gruppe auswählen. Wobei ich persönlich immer eine Gruppe bevorzuge, weil man damit einfach flexibel ist und nur in seltenen Fällen etwas in der Objektverwaltung anpassen muss.
Beim Objekt reicht es „Benutzer“ auszuwählen und auf „Weiter“ klicken: | Im nachfolgenden Dialog werden die notwendigen Berechtigungen ausgewählt: |
Folgende Attribute haben wir ausgewählt:
- Passwort zurücksetzen (Berechtigung: Kennwort ändern, Kennwort zurücksetzen)
- Passwort bei der nächsten Anmeldung ändern (pwdLastSet lesen, pwdLastSet schreiben)
- Benutzerkonto entsperren (Berechtigung: lockoutTime lesen, lockoutTime schreiben)
Zum Schluss erscheint eine Art Zusammenfassung über die Delegierung. Mit dem Klick „Fertig stellen“ wird die Änderung in wenigen Minuten wirksam.
Für die zuständigen Stellen im Helpdesk greifen wir auf das Tool AD Account Reset Tool von Cjwdev zurück.