Leitfaden zur Verwendung des Assistenten zum Zuweisen der Objektverwaltung

  • Artikel

Veröffentlicht: 17. Sep 2004

In diesem Leitfaden werden die Schritte zum Delegieren der Verwaltung von Objekten in einem Container des Verzeichnisdienstes Active Directory unter Windows Server 2003 erläutert. Auf diese Weise können zahlreiche Verwaltungsaufgaben den jeweils geeigneten Benutzern und Gruppen zugewiesen werden.

Auf dieser Seite

Dn308935.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Einführung

Dn308935.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Übersicht

Dn308935.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwenden des Assistenten zum Zuweisen der Objektverwaltung

Dn308935.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Die Leitfäden zur Bereitstellung von Windows Server 2003 können in einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Mit VM-Technologie (Virtual Machine) sind Kunden in der Lage, mehrere Betriebssysteme parallel auf einem einzigen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die hierin verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Dn308935.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Übersicht

In diesem Leitfaden werden die Schritte zum Delegieren der Verwaltung von Objekten in einem Container des Verzeichnisdienstes Active Directory unter Windows Server 2003 erläutert. Auf diese Weise können zahlreiche Verwaltungsaufgaben den jeweils geeigneten Benutzern und Gruppen zugewiesen werden. Einfache Verwaltungsaufgaben können so regulären Benutzern oder Gruppen zugewiesen werden, domänen- oder gesamtstrukturweite Verwaltungsaufgaben bleiben hingegen Mitgliedern der Gruppe der Domänenadministratoren und der Gruppe der Organisationsadministratoren vorbehalten. Mithilfe der Verwaltungsdelegierung können Gruppen innerhalb der Organisation mehr Verantwortung für die lokalen Netzwerkressourcen erhalten. Darüber hinaus kann das Netzwerk auch vor unbeabsichtigten oder böswilligen Beschädigungen bewahrt werden, indem die Anzahl der Mitglieder der Administratorgruppe begrenzt wird.

Die Verwaltungsrechte für eine beliebige Ebene der Domänenstruktur können delegiert werden, indem innerhalb der Domäne Organisationseinheiten (Organizational Units, OUs) erstellt und bestimmten Benutzern oder Gruppen dann die Verwaltungsrechte für diese OUs gewährt werden.

In Active Directory sind bestimmte Berechtigungen und Benutzerrechte definiert, die zum Delegieren oder Einschränken von Verwaltungsrechten verwendet werden können. Unter Verwendung einer Kombination aus OUs, Gruppen und Berechtigungen kann der am besten geeignete Verwaltungsumfang für eine bestimmte Person definiert werden, der sich auf eine gesamte Domäne, auf alle OUs innerhalb einer Domäne oder lediglich auf eine einzelne OU beziehen kann.

Verwaltungsrechte können einem Benutzer oder einer Gruppe mithilfe des Assistenten zum Zuweisen der Objektverwaltung oder über die Konsole des Autorisierungs-Managers gewährt werden. Mit beiden Tools können Rechte oder Berechtigungen bestimmten Benutzer oder bestimmten Gruppen gewährt werden.

In diesem Dokument finden Sie drei Beispiele für die Verwaltungsdelegierung mit dem Assistenten zum Zuweisen der Objektverwaltung im MMC-Snap-In Active Directory-Benutzer und -Computer. Hierzu gehören die Folgenden:

  • Delegieren der gesamten Verwaltungsrechte für eine OU.
  • Delegieren der Rechte zum Erstellen und Löschen von Benutzern in einer OU.
  • Delegieren der Berechtigung zum Zurücksetzen der Kennwörter für alle Benutzer in einer OU.

Voraussetzungen

Anforderungen des Leitfadens

Zum Durchführen dieser Verfahren müssen Sie Mitglied der Gruppe der Domänenadministratoren oder der Organisationsadministratoren sein, oder Ihrem Konto müssen die entsprechenden Verwaltungsrechte delegiert worden sein. Neben der Implementierung der allgemeinen Infrastruktur müssen die folgenden Schritte durchgeführt werden:

  • Hinzufügen einer neuen OU mit Namen Divisions zur Domäne Contoso.
  • Hinzufügen von drei neuen OUs zu Divisions: Operations, Autonomous Unit und Product Group.
  • Hinzufügen einer neuen Sicherheitsgruppe zur OU Operations und Umbenennen der Gruppe in Helpdesk.
  • Hinzufügen einer neuen Sicherheitsgruppe zur OU Autonomous Unit und Umbenennen der Gruppe in AUAdmins.
  • Hinzufügen einer neuen Sicherheitsgruppe zur OU Product Group und Umbenennen der Gruppe in HR Team.

Dn308935.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwenden des Assistenten zum Zuweisen der Objektverwaltung

Dieser Abschnitt befasst sich mit einer Aufgabe, die in vielen großen Organisationen an der Tagesordnung ist: das Delegieren der gesamten Verwaltungsrechte für eine OU an eine bestimmte Gruppe Administratoren, wodurch die Verwaltung des Verzeichnisnamespaces faktisch in Partitionen unterteilt wird.

Delegieren der Verwaltungsrechte für eine Organisationseinheit

So delegieren Sie die Verwaltungsrechte für eine OU

  1. Öffnen Sie auf HQ-CON-DC-01 das Snap-In Active Directory-Benutzer und -Computer. Die Struktur sollte mit der in Abbildung 1 dargestellten vergleichbar sein.

    Dn308935.0E1AAB7371ECC7599E0BC8F0F190FCC9(de-de,TechNet.10).png

    Abbildung 1. Struktur von Active Directory

    Bild maximieren

  2. Klicken Sie im linken Teilfenster mit der rechten Maustaste auf die OU Divisions, und klicken Sie dann auf Objektverwaltung zuweisen. Der Assistent zum Zuweisen der Objektverwaltung wird aufgerufen.

  3. Klicken Sie auf der Seite Willkommen auf Weiter.

  4. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen, klicken Sie auf Erweitert, und klicken Sie dann auf Suche starten. Blättern Sie zu AUAdmins, doppelklicken Sie auf den Eintrag, und klicken Sie dann auf OK. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  5. Klicken Sie auf der Seite Zuzuweisende Aufgaben auf Benutzerdefinierte Tasks zum Zuweisen erstellen. (Auf diese Weise können Sie die Verwaltungsrechte für den gesamten Container delegieren.) Klicken Sie auf Weiter.

  6. Klicken Sie auf der Seite Active Directory-Objekttyp auf Diesem Ordner, bestehenden Objekten in diesem Ordner und neuen Objekte in diesem Ordner (Standard), und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Berechtigungen auf Vollzugriff, um uneingeschränkten Zugriff zu gewähren. Klicken Sie auf Weiter und anschließend auf Fertig stellen.

Prüfen der gewährten Berechtigungen

Sie können die Zugriffssteuerungseinträge für die Gruppe AUAdmins prüfen, um sich zu vergewissern, dass die Berechtigungen in geeigneter Weise festgelegt wurden.

So prüfen Sie die gewährten Berechtigungen

  1. Klicken Sie im Menü Ansicht des Snap-Ins Active Directory-Benutzer und -Computer auf Erweiterte Funktionen.

  2. Navigieren Sie in der OU Divisions zu Autonomous Unit, klicken Sie mit der rechten Maustaste, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Sicherheitseinstellungen auf Erweitert. Prüfen Sie auf der Registerkarte Berechtigungen die Berechtigungseinträge, die sich auf AUAdmins beziehen (siehe Abbildung 2).

    Dn308935.860C60A37883D902E59513B5381D658F(de-de,TechNet.10).png

    Abbildung 2. Überprüfen der Berechtigungen für AUAdmins

  4. Doppelklicken Sie auf AUAdmins. Für die OU und für alle untergeordneten Objekte wurde Vollzugriff gewährt, d. h. die Berechtigungen wurden ordnungsgemäß zugewiesen.

  5. Schließen Sie alle Fenster.

Delegieren des Rechts zum Erstellen und Löschen von Benutzern

Im Folgenden wird gezeigt, wie einer autorisierenden Sicherheitsgruppe bestimmte Tasks zugewiesen werden. Im vorliegenden Beispiel benötigt HR Team, eine Gruppe aus der Personalabteilung, die Berechtigung zum Erstellen oder Löschen von Benutzerkonten, um die Personalverwaltung zu vereinfachen. Diese Art der Delegierung stellt insofern eine sekundäre Delegierungsebene dar, als dass hiermit Verwaltungsrechte für eine Teilmenge der Rechte für einen bestimmten Container gewährt werden. Im vorstehenden Beispiel wurden sämtliche Rechte für einen bestimmten Container gewährt.

So delegieren Sie die Verwaltungsrechte für bestimmte Tasks an HR Team

  1. Klicken Sie im Snap-In Active Directory-Benutzer und -Computer auf die OU Divisions.

  2. Klicken Sie mit der rechten Maustaste auf Divisions, und klicken Sie dann auf Objektverwaltung zuweisen. Der Assistent zum Zuweisen der Objektverwaltung wird aufgerufen. Klicken Sie auf Weiter.

  3. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen, klicken Sie auf Erweitert, und klicken Sie dann auf Suche starten. Blättern Sie zu HR Team, doppelklicken Sie auf den Eintrag, und klicken Sie dann auf OK. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  4. Klicken Sie auf der Seite Zuzuweisende Aufgaben unter Folgende allgemeine Tasks zuweisen auf Erstellt, entfernt und verwaltet Benutzerkonten (die erste Option, siehe Abbildung 3). Klicken Sie dann auf Weiter.

    Dn308935.632FD02370EEBDE31979A73D7EC8875C(de-de,TechNet.10).png

    Abbildung 3. Delegieren bestimmter Tasks

  5. Prüfen Sie auf der Seite Zusammenfassung die vorgeschlagenen Einstellungen, und klicken Sie dann auf Fertig stellen.

Prüfen der gewährten Berechtigungen

So prüfen Sie die gewährten Berechtigungen

  1. Klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die OU Divisions, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf der Registerkarte Sicherheitseinstellungen auf Erweitert. Wie in Abbildung 4 gezeigt werden die Berechtigungen für das jeweilige Benutzerobjekt angezeigt, einschließlich der entsprechenden Berechtigungen für HR Team.

    Dn308935.59AA14A0F1F24D7094972CAAAC0CC794(de-de,TechNet.10).png

    Abbildung 4. Prüfen der gewährten Berechtigungen

  3. Doppelklicken Sie auf den zweiten Eintrag HR Team ("Benutzer" erstellen/löschen), und beachten Sie, dass die Rechte Benutzerobjekte erstellen und Benutzerobjekte löschen erfolgreich zugewiesen wurden. Diese Berechtigungen gelten für dieses Objekt (OU Divisions) und für alle untergeordneten Objekte. Klicken Sie auf Schließen, und schließen Sie alle Fenster.

Delegieren der Berechtigung zum Zurücksetzen der Kennwörter für alle Benutzer

Als Erweiterung des vorstehenden Beispiels, der Delegierung der Berechtigung zum Durchführen bestimmter Tasks, befasst sich dieser Abschnitt mit einer Supportaufgabe, die in einem IT-System häufig ansteht, nämlich dem Zurücksetzen aller Kennwörter. Da das Zurücksetzen von Kennwörtern eine der häufigsten Anforderung an den IT-Support darstellt, kann der Betrieb der IT-Umgebung mit dem Delegieren der entsprechenden Berechtigungen an eine niedrigere Zuständigkeitsebene ggf. erheblich rationalisiert werden.

So delegieren Sie die Berechtigung zum Zurücksetzen von Kennwörtern an die Gruppe HelpDesk

  1. Klicken Sie im Snap-In Active Directory-Benutzer und -Computer auf die OU Divisions.

  2. Klicken Sie mit der rechten Maustaste auf Divisions, und klicken Sie dann auf Objektverwaltung zuweisen. Der Assistent zum Zuweisen der Objektverwaltung wird aufgerufen. Klicken Sie auf Weiter.

  3. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen, klicken Sie auf Erweitert, und klicken Sie dann auf Suche starten. Blättern Sie zu HelpDesk, doppelklicken Sie auf den Eintrag, und klicken Sie dann auf OK. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  4. Klicken Sie auf der Seite Zuzuweisende Aufgaben unter Folgende allgemeine Tasks zuweisen auf Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung (wie in Abbildung 5 gezeigt). Klicken Sie dann auf Weiter.

    Dn308935.0333cbb3-dca2-491d-a105-f85d22dd357f(de-de,TechNet.10).png

    Abbildung 5. Delegieren bestimmter Tasks

  5. Prüfen Sie auf der Seite Zusammenfassung die vorgeschlagenen Einstellungen, und klicken Sie dann auf Fertig stellen.

Delegieren der Verwaltungsrechte für benutzerdefinierte Tasks

Im vorstehenden Beispiel wurden unterschiedliche Ebenen der Delegierung von Verwaltungsrechten für bestimmte Active Directory-Container erläutert. Bei der Delegierung bestimmter Tasks werden vordefinierte Optionen für die Delegierung gewählt. Der Assistent zum Zuweisen der Objektverwaltung bietet eine zusätzliche Granularitätsebene, die es ermöglicht, bestimmten Benutzern oder Gruppen benutzerdefiniert zusammengestellte Tasks zuzuordnen. Im folgenden Abschnitt wird HR Team die Berechtigung zum Ändern bestimmter Benutzerattribute gewährt, um die allgemeine Personalverwaltung zu vereinfachen.

So gewähren Sie HR Team die Berechtigung zum Erstellen und Löschen von persönlichen Benutzerinformationen in Active Directory

  1. Klicken Sie im linken Teilfenster mit der rechten Maustaste auf die OU Divisions, und klicken Sie dann auf Objektverwaltung zuweisen. Der Assistent zum Zuweisen der Objektverwaltung wird aufgerufen. Klicken Sie auf Weiter.

  2. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen, klicken Sie auf Erweitert, und klicken Sie dann auf Suche starten. Blättern Sie zu HR Team, doppelklicken Sie auf den Eintrag, und klicken Sie dann auf OK. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  3. Klicken Sie auf der Seite Zuzuweisende Aufgaben auf Benutzerdefinierte Tasks zum Zuweisen erstellen. (Auf diese Weise können Sie die Verwaltungsrechte für den gesamten Container delegieren.) Klicken Sie auf Weiter.

  4. Klicken Sie im Fenster Active Directory-Objekttyp auf Folgenden Objekten im Ordner.

  5. Blättern Sie bis zum letzten Eintrag, und aktivieren Sie das Kontrollkästchen "Benutzer"-Objekte. Aktivieren Sie am Fuß des Fensters Active Directory-Objekttyp die beiden Kontrollkästchen Gewählte Objekte in diesem Ordner erstellen und Gewählte Objekte in diesem Ordner löschen. Prüfen Sie die Einstellungen anhand von Abbildung 6, und klicken Sie auf Weiter.

    Dn308935.F61421C4BD4750F86F1034EE936B1A2F(de-de,TechNet.10).png

    Abbildung 6. Erstellen einer benutzerdefinierten Delegierung

  6. Vergewissern Sie sich auf der Seite Berechtigungen, dass Allgemein (Standard) gewählt ist. Blättern Sie nach unten, und aktivieren Sie wie in Abbildung 7 gezeigt das Kontrollkästchen Lesen und Schreiben Persönliche Informationen.

    Hinweis


    Mit der Aktivierung des eigenschaftenspezifischen Kontrollkästchens steht auf der Attributebene eine weitere Detailebene bereit. Wenn z. B. nur HR Team in der Lage sein soll, die Postanschrift eines Benutzers zu ändern, müssen Sie das geeignete Attribute auswählen.

    Dn308935.745389B70D9878ACE994EDE59F4C454A(de-de,TechNet.10).png

    Abbildung 7. Erstellen einer benutzerdefinierten Delegierung, Zuweisen von bestimmten Rechten

  7. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  8. Prüfen Sie auf der Seite Zusammenfassung die vorgeschlagenen Einstellungen, und klicken Sie dann auf Fertig stellen.

Dn308935.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Weitere Ressourcen

Aktuelle Informationen über Windows Server 2003 finden Sie unter
/germany/windowsserver2003/.

Dn308935.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community