Sicherheitsmanagement im Active Directory

Benutzerdefinierte Tasks

Falls die standardmäßigen Tasks nicht die Anforderungen abdecken, kann man auch eigene Tasks erstellen. Ein Beispiel ist die Erteilung von Änderungsberechtigungen nur für einen Teil der Attribute von Benutzerobjekten, wie sie beispielsweise erforderlich ist, wenn ausgewählte Mitarbeiter in Fachbereichen bestimmte Informationen wie Adressen und Telefonnummern von anderen Mitarbeitern ändern dürfen. Da die Berechtigungen ja unabhängig von der gewählten Schnittstelle gelten, sind solche Anpassungen oft auch für Self-Service-Portale erforderlich.

Mit der Option Benutzerdefinierte Tasks zum Zuweisen erstellen lassen sich solche Tasks erzeugen. Die Option findet sich in dem Dialogfeld, in dem oben die allgemeinen (vorgegebenen) Tasks zu sehen sind.

Im nächsten Schritt müssen der oder die Active-Directory-Objekttypen ausgewählt werden, für die Berechtigungen angepasst werden sollen. Eine Option ist die Zuweisung der Berechtigungen für alle Objekte in diesem Ordner und untergeordneten Ordnern. In den meisten Fällen sollen die Berechtigungen aber auf bestimmte Objektklassen wie „Benutzer“-Objekte beschränkt sein, so dass man entsprechende Objekte auswählen wird. Mit den beiden Optionen Gewählte Objekte in diesem Ordner erstellen und Gewählte Objekte in diesem Ordner löschen wird gesteuert, ob Objekte auch angelegt und gelöscht oder nur gelesen und geändert werden dürfen.

Da es im Active Directory sehr viele Objektklassen gibt, ist die Liste entsprechend lang. Die wichtigsten Objektklassen sind aber einfach identifizierbar, weil sie mit einem Großbuchstaben beginnen. Diese werden vom System sozusagen „erkannt“ und mit einem sprechenden Namen angezeigt, während bei den anderen Objektklassen der generell mit einem Kleinbuchstaben beginnende Name der Objektklasse aus dem Active Directory angezeigt wird.