Active Directory - Administrative Aufgaben übergeben

Beitragsseiten

Administrative Aufgaben übergeben

Aufgrund der meist vielen und stark angewachsenen Organisationseinheiten (OU), macht es Sinn sog. Hilfsadministratoren mit ins Boot zu nehmen, denen bestimmte Aufgaben zugewiesen (delegiert)werden, die fast täglich an einer Rolle durchgeführt werden. Dies kann ein ganz normaler Standard-Benutzer sein, der auch nicht, aus Sicherheitsgründen, zur Gruppe der Administratoren gehört. Hierbei sollte aber auch in Betracht gezogen werden, dass eine weitere Person, als Vertretung, zwecks Urlaub oder Krankheitsfälle, eingesetzt werden kann.

Jeder Administrator, der eine neu OU angelegt hat ist auch daran gebunden, diese zu administrieren. Ein Domänenadministrator kann allerdings die Rechte an der OU übernehmen bzw. zurücknehmen und an einen anderen Benutzer übergeben.

Aufgaben eines OU-Administrators

  • Erstellen, Bearbeiten, Löschen von Objekten
  • Entscheiden, welche Richtlinien von den oberen OUs übernommen werden.
  • Entscheiden, welche Richtlinien hinzugefügt und von anderen untergeordneten OUs geerbt werden sollen.
  • Entscheiden, ob die neu erstellte Unterebene von einer anderen Person administriert werden soll.

Vorteile durch eine Delegation der Administration

  • Aufgabenverteilung
  • Vertretung in Urlaub und Krankheit

Damit anschließend nicht ein komplettes Durcheinander, ihm Bereich "Wer darf jetzt was!", entsteht. Ist es sehr wichtig, dass die Aufgabenverteilung, an die Administratoren, stets zu dokumentiert ist.

Dazu, wenn nötig, am besten eine Hierarchie anlegen, damit übergeordneten und untergeordneten Administratoren, die eine Delegierung übernommen haben, jederzeit nachgeschlagen werden kann, wer für welche Bereichen zuständig ist.

Es ist durchaus möglich, dass ein untergeordneter Administrator die Rechte hat, Kennwörter zurückzusetzen, aber nicht das Recht besitzt Benutzerkonten zu entfernen. Somit kann dieser Administrator schnell eingreifen, wenn sich ein Benutzer ausgesperrt hat, weil er z.B. nach seinem Urlaub das Kennwort nicht mehr weiß. :-)

Delegationen laufen auch nach den sog. Vererbprinzip ab, deshalb ist es auch besonders wichtig vorher eine Hierarchie mit den jeweiligen (Hilfs-)Administratoren anzulegen.

Mehrere untergeordneter Administrator können im Prinzip die gleichen Rechte besitzen, wie der Administrator in den oberen Rängen, da standardmäßig die Rechte vererbt werden.


Drucken   E-Mail