Windows-Praxis: Gruppen in Active Directory richtig einsetzen

Szenario: Delegierung zur administrativen Verwaltung einer Organisationseinheit

Ein gutes Praxisbeispiel für das Delegieren von Benutzerrechten im Active Directory ist das Zurücksetzen von Kennwörtern, die zum Beispiel Support-Mitarbeiter erhalten sollen. Wenn Anwender ihr Kennwort vergessen oder ein neues Kennwort zugewiesen bekommen, sollte das nicht die Aufgabe der Systemadministratoren sein.

In diesem Fall könnte zum Beispiel der Abteilungsleiter oder ein Power-User diese Aufgaben übernehmen. Es besteht außerdem die Möglichkeit, an eine bestimmte Gruppe genau diese Rechte für seine OU zu delegieren:

1. Legen Sie zunächst eine globale oder universelle Benutzergruppe an, die die Rechte der Delegierung erhalten soll. Auch wenn die Gruppe zunächst keinen Benutzer enthält, sollten Sie in den Berechtigungen des Active Directory niemals nur einzelne Konten eintragen, da ansonsten die Berechtigungsstruktur sehr kompliziert wird. Außerdem müssen Sie bei jeder Änderungen dann direkt Änderungen am System vornehmen, anstatt nur Benutzer der Gruppe hinzuzufügen oder sie aus der Gruppe zu entfernen.

2. Klicken Sie mit der rechten Maustaste auf die OU, in der die Benutzerkonten abgelegt sind, deren Verwaltung Sie delegieren wollen. Wählen Sie im Kontextmenü den Befehl Objektverwaltung zuweisen aus.

3. Fügen Sie im Assistenten die angelegte Gruppe hinzu, der Sie das Recht zur Verwaltung der OU geben wollen. Welche Rechte die Gruppe erhält, wählen Sie erst später aus.

4. Aktivieren Sie im nächsten Fenster als zuzuweisende Aufgabe zum Beispiel das Recht Erstellt, entfernt und verwaltet Benutzerkonten. Wenn Sie den entsprechenden Nutzern nur das Recht zum Ändern der Kennwörter geben wollen, können Sie hier auch die Option Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung verwenden. Möchten Sie speziellere Rechte erteilen, aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen.