FirstWare DynamicGroup – Teil 2: Delegation Mode

Zurück zu FirstWare DynamicGroup – Teil 1: ein kleines Tutorial

Wie im ersten Teil der Serie bereits beschreiben geht es in diesem Teil um den nagelneuen „Delegationmode“. Auch hier möchte nur mit einem einfachen Beispiel aufzeigen, was die Software ermöglicht und welche Vorteile speziell für Helpdesk-Mitarbeiter entstehen können.

Zunächst allgemein; was ist überhaupt eine „normale“ AD Delegation.
Einfach erklärt ist dies eine Weitergabe von bestimmten Rechten an eine bestimmte Person bzw. Personengruppe. Damit lässt sich noch nicht so viel anfangen.
Einfaches Beispiel: Der IT-Administrator hat einen weiteren Mitarbeiter, der aber im ActiveDirectory nicht alle Rechte bekommen soll. In meinem Fall soll dieser Mitarbeiter Benutzer in Gruppen aufnehmen und Passwörter zurücksetzen können.
Wie kann dies erreicht werden?

Im ActiveDirectory habe ich in meinem Lab genau diese Delegierung eingerichtet für den Benutzer „helpdesk02“, dieser hat nur auf die OU=Sigmaringen Zugriff und kann dort Benutzer in Gruppen einfügen und Kennwörter zurücksetzen. Dies wurde klassisch mit dem Delegation Wizard erledigt.

Natürlich habe ich die Delegierung einer Gruppe zugeordnet, sodass später auch weitere Helpdeskbenutzer hinzugefügt werden können.

Als nächstes kommen die Berechtigungen.

Somit ist die Delegierung bereits erledigt!
HINWEIS: Der Benutzer hat KEINE Adminrechte, da sonst die Delegierung nicht funktionieren würde.

In FirstWare ist der „Delegation Mode“ nicht aktiv gesetzt, somit kann ich mit meinem Helpdesk02 Benutzer alle OUs sehen , aber natürlich nur in der OU Sigmaringen Änderungen an den Gruppen durchführen. Soweit so gut.

Da die Software mit dgadmin installiert wurde, benutze ich diesen um den Delegation Mode im FirstWare DG einzuschalten. (also ummelden, da ich dies alles auf meinem Management Server durchführe)

Nach der erneuten Ummeldung zurück mit dem „Helpdesk02“ Benutzer kann ich in der AD Konsole natürlich immer noch alle OUs etc. sehen (mit den Standardtools auch ganz normal). Ich kann aber nur Gruppen innerhalb von Sigmaringen bearbeiten.

Innerhalb von FirstWare DG aber kann ich nur noch die OUs sehen, auf die ich Zugriff habe. ABE (AccessBasedEnumeration) für ActiveDirectory.

Fazit: mit der Software FirstWare lässt sich die Delegierung von AD Berechtigung gut umsetzen und auch Helpdesk-Benutzern mit wenig AD Erfahrung ihre Aufgaben meistern.
Wenn das Gruppenkonzept stimmig ist und Berechtigungen immer an Gruppenzugehörigkeiten hängen, können einfache Aufgaben wie die Berechtigungszuordnung automatisiert oder auch an andere Personen mit weniger IT KnowHow delegiert werden. Die Software lässt sich auch auf einem Client installieren.

Auch die Funktion des Delegation Mode kann sich sehen lassen und trägt entscheidend zur Sicherheit und auch Vereinfachung der täglichen Aufgaben einer IT Abteilung bei!
Viel Spaß mit dem Tool, wenn euch der Betrag gefallen hat, drückt auf „helpful“ und ladet die Software herunter. Bitte gebt beim Download im Nachrichtenfenster meinen Blog als Referenz an.

Dieser Artikel entstand mit der freundlichen Unterstützung von:

Direkter Link zum Download der Software: https://www.dynamicgroup.net/de/download/