Sicherheitsmanagement im Active Directory

Die Delegation von Berechtigungen

Ein Nachteil davon, sich auf die genannten vordefinierten Gruppen zu beschränken, liegt darin, dass die zugewiesenen administrativen Berechtigungen dieser Gruppen jeweils für die gesamte Domäne gelten. Wenn man nun aber die Administration einzelner Bereiche einer Domäne bestimmten Benutzergruppen zuordnen möchte, reichen diese Gruppen nicht aus. Gleiches gilt auch, wenn man einer Gruppe zwar das Recht zugestehen möchte, beispielsweise die Telefonnummern und Adressen von Benutzern, die ja auch im Active Directory gespeichert werden können, zu ändern, aber zum Beispiel keine Kennwörter oder Gruppenzuordnungen.

Ein typischer Fall ist die Delegation der Erstellung von neuen Benutzern in einer organisatorischen Einheit an lokale Operatoren. Man kann aber auch einzelne Berechtigungen wie das Ändern von Adressdaten oder das Zurücksetzen von Kennwörtern delegieren.

In diesem Fall kommt der Assistent zum Zuweisen von Objektberechtigungen ins Spiel, mit dem administrative Berechtigungen delegiert werden können. Der Assistent kann im Kontextmenü von Domänen und organisatorischen Einheiten aufgerufen werden. Dort findet sich jeweils der Befehl Objektverwaltung zuweisen.

Im ersten Schritt müssen eine oder mehrere Benutzergruppen ausgewählt werden, denen die neuen Rechte gegeben werden sollen. Man kann zwar theoretisch auch einzelne Benutzer wählen. Davon ist aber unbedingt abzuraten, da es die Administration unübersichtlich und aufwändig macht. Wenn man mit einer Gruppe arbeitet, führt man die Zuweisung der Objektberechtigungen einmal durch. Anschließend kann man sich darauf beschränken, Benutzer in die Gruppe aufzunehmen oder aus der Gruppe zu entfernen.

Würde man dagegen individuelle Benutzer auswählen, dann müsste man bei jeder Änderung dem entsprechenden Benutzer die Berechtigungen wieder manuell entziehen oder sie zusätzlichen Benutzern über den Assistenten geben. Es ist ohnehin eine der „goldenen Regeln“ der Windows-Administration, dass man Berechtigungen generell nur an Gruppen vergibt.