Active Directory Delegation mit PowerShell Wizard

Die Erweiterung von Berechtigungen auf Dateiebene ist vielen bekannt und auch geläufig. Schaut man dann in Richtung des Active Directory, werden die Wissenden seltener und Stimmen schon etwas leiser. Berechtigen ist dort alleine schon wegen der vielen Objekte eine komplexere Angelegenheit. Leider macht der Assistent für die „Erweiterten Sicherheitseinstellungen“ kein gutes Bild und trägt nicht zur aktiven Unterstützung bei. Transparenz und Einfachheit ist dort nicht gegeben.

Was also tun, wenn man ab und an Standardaufgaben (bspw. Benutzerdatenpflege) im Active Directory an gewisse Personenkreise delegieren möchte? Richtig, man muss sich mit den jeweiligen Tools wie z.B. dsacls oder dem Active Directory Delegation Wizard auseinandersetzen und testen.

Ich habe mich eine Weile mit dem AD Delegation Wizard auseinandergesetzt. Berechtigungsvorlagen für wiederkehrende Tasks zu liefern halte ich für eine nützliche Sache. Leider liefert dieser in der delegwiz.inf nicht wirklich viele mit. Glücklicherweise gibt es bei Microsoft etwas mehr Auswahl. Appendix O: Active Directory Delegation Wizard File | Microsoft Learn . Die Implementierung dieser, also das überschreiben von Berechtigungen im Dateisystem, macht das Übernehmen nicht einfach. Leider sind die Vorlagen damit auch nur auf den PC/Server begrenzt, auf dem sie vorhanden sind.

Geboren wurde Active Directory Delegation Powershell-Wizard – Inklusive der vorhandenen Templates

Funktionen und Vorlagen

Dieses Skript nutzt vordefinierte Vorlagen, um spezifische Rechte und Eigenschaften für Benutzer, Gruppen, Computer und Organisationseinheiten (OUs) zu delegieren.

  • Benutzerkonten: Verwaltung von Benutzerkonten, Passwortzurücksetzung, Modifizierung von Benutzereigenschaften.
  • Gruppenkonten: Erstellung, Löschung und Mitgliedschaftsänderungen von Gruppen.
  • Computerkonten: Verwaltung von Computerkonten, einschließlich Domänenbeitritt und Konto-Zurücksetzung.
  • Organisationseinheiten: Erstellung, Löschung, Umbenennung und Delegation von Kontrollrechten über OUs.
  • inetOrgPerson: Ähnlich wie Benutzerkonten, jedoch für inetOrgPerson-Objekte.
  • Gruppenrichtlinien: Verwaltung von Gruppenrichtlinienverknüpfungen und Erzeugung von RSoP-Berichten.
  • WMI-Filter: Erstellung, Löschung und Verwaltung von WMI-Filtern.

Anwendung des Skripts

Um die verfügbaren Vorlagen aufzulisten, verwenden Sie:

Invoke-AdDelegationTemplate -ShowTemplates

Um eine Vorlage anzuwenden, nutzen Sie folgenden Befehl:

Invoke-ADDelegationTemplate -AdIdentity "UserManagerPermissionGroup" -DelegationOuDN "OU=MySpecialOU,DC=ad,DC=MyADDomain,DC=de" -TemplateID 101

Vorteile des PowerShell Wizards

  • Effizienz: Automatisiert wiederkehrende Aufgaben und spart Zeit.
  • Konsistenz: Einheitliche Anwendung von Berechtigungen über die gesamte Organisation hinweg.
  • Skalierbarkeit: Verwaltung einer großen Anzahl von AD-Objekten.
  • Sicherheit: Präzise Kontrolle der Berechtigungen erhöht die Sicherheit.

GitHub:
janweis/Active-Directory-Delegation-Powershell-Wizard:
This PowerShell script is used to assign permissions in Active Directory based on predefined templates. It enables administrators to configure specific rights and properties for user, group, computer and OU objects in Active Directory. (github.com)

Download:

Kommentar verfassen