8.6 Delegierung der Verwaltung
In größeren Organisationen gibt es eben nicht nur einen Administrator, sondern mehrere Teams, die unterschiedliche Aufgaben wahrnehmen. Es kann beispielsweise einen Helpdesk geben, der solche Aufgaben wie das Zurücksetzen von Kennwörtern und das Anlegen von neuen Benutzern übernimmt, allerdings nicht in die Struktur des Active Directory eingreifen soll (z. B. durch Anlegen von zusätzlichen OUs). Häufig werden auch Ländergesellschaften mehr oder weniger autark von Administratoren vor Ort verwaltet.
Da natürlich nicht jeder, der eine mehr oder weniger umfangreiche Verwaltungsaufgabe (z. B. das Zurücksetzen von Kennwörtern) übernimmt, direkt die vollen Domänen-Administrator-Berechtigungen erhalten soll, ist eine granulare Delegierung der Verwaltung eine wichtige Voraussetzung. Dies gilt umso mehr, als die Empfehlung lautet, möglichst wenige Domänen aufzubauen – im besten Fall eben nur eine, was beispielsweise mit der autarken Verwaltung von Ländergesellschaften kollidiert.
Dass man (Verwaltungs-)Berechtigungen an OUs vergeben kann, ist nun keinesfalls eine Neuerung in Windows Server 2008/2012, sondern ist seit den Anfängen des Active Directory in Windows 2000 Server möglich – und funktioniert auch weitgehend gleich. Für diejenigen, für die das »Neuland« ist, zeige ich nachfolgend kurz, wie das gemacht wird.
Wenn Sie beispielsweise möchten, dass eine Person (z. B. ein »Hilfsadministrator«) in einer bestimmten Organisationseinheit die Kennwörter zurücksetzen, die Gruppenmitgliedschaften ändern und alle Benutzerinformationen lesen kann, gehen Sie folgendermaßen vor:
- Im Kontextmenü der Organisationseinheit finden Sie den Menüpunkt Objektverwaltung zuweisen (Abbildung 8.180).
Abbildung 8.180 Im Kontextmenü einer Organisationseinheit finden Sie den Menüpunkt »Objektverwaltung zuweisen«.
- Dieser startet einen Assistenten, in dessen Verlauf Sie die Benutzer und Gruppen auswählen, denen Sie Berechtigungen zuweisen möchten. In einem weiteren Schritt können Sie die »zuzuweisenden Aufgaben« auswählen, also die Berechtigungen, die die Benutzer bzw. Gruppen benötigen (Abbildung 8.181).
Abbildung 8.181 Mit einem Assistenten können Sie einem oder mehreren Benutzer(n) und/oder Gruppen Berechtigungen zuweisen.
Abbildung 8.182 Der Assistent ergänzt einige Berechtigungen in den Eigenschaften des Objekts, hier einer Organisationseinheit.
Wenn Sie nach Abschluss der Installation aus unstillbarer Neugier auf die Registerkarte Sicherheit in den Eigenschaften der Organisationseinheit schauen, werden Sie feststellen, dass dort der bzw. die Benutzer und/oder Gruppen angelegt worden sind. Um die genauen Berechtigungen einzusehen, lassen Sie sich die Erweiterten Sicherheitseinstellungen zeigen (Abbildung 8.182).
Ihre Meinung
Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.