bioperiodik Geschrieben 1. Oktober 2009 Teilen Geschrieben 1. Oktober 2009 Guten Morgen, Ich hoffe ich hab das Thema richtig plaziert! Es geht um folgendes: Ich suche nach einem Programm zur Verwaltung der Benutzerdaten in der Active Directory. Dabei soll jede Abteilung nur die für sie erforderlichen Einträge ändern können. Kurzes Beispiel: Ein neuer Mitarbeiter wird eingestellt. - Die IT Abteilung legt den Benutzer an, fügt die erforderlichen Einträge (Gruppenrichtlinien, PC-Name, Email) ein. - Die Personalabteilung trägt die Personalnummer, Kostenstellt, etc ein. - Die Technik trägt die Telefonnummer, Schlüsselnummer... ein Dabei soll jede Abteilung nur die Einträge sehen/ändern können die für die erforderlich ist. Also die Personalabteilung soll z.b. kein zugriff auf die Telefonnummer haben usw. Nun suche ich eine Software/Tool das dies bereitstellt. Bisher habe ich nur das Active Directory Management Tools von Ensim gefunden. Da es aber scheinbar kein Vertriebspartner in Deutschland gibt hätte ich gerne noch ein paar andere Anbieter. Über Google finde ich sonst nichts Hat von euch jemand so ein Tool im Einsatz oder kennt eins? Danke schonmal im Vorraus In diesem Sinne Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 1. Oktober 2009 Teilen Geschrieben 1. Oktober 2009 Hallo, definiere keinen Zugriff. Nicht sehen oder nicht ändern dürfen? Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bioperiodik Geschrieben 1. Oktober 2009 Autor Teilen Geschrieben 1. Oktober 2009 (bearbeitet) Hm... Da die Mitarbeiter ja sowieso zu Verschwiegenheit verpflichtet sind, würde nicht ändern reichen. Aber nicht sichtbar wäre natürlich auch gut! Es geht darum dass die Mitarbeiter z.b. in der Personalabteilung oder der Technik vllt IT-technisch nicht so versiert sind, und man mit einem "Vollzugriff" in der AD ja schon großen Schaden anrichten kann. Daher wäre es gut wenn nur die Einträge bearbeitet werden können die eben für die Abteilung von Interesse sind. Bearbeitet 1. Oktober 2009 von bioperiodik Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 1. Oktober 2009 Teilen Geschrieben 1. Oktober 2009 Hallo, das kannst Du im Active Directory duch Berechtigungen gezielt steuern und den verschiedenen Abteilungen nur die Rechte zuteilen die notwendig sind. Was das Programm angeht womit man das macht, im Prinzip reicht ja die MMC Active Directory Benutzer und Computer. Man könnte sich ja auch ein kleines Java Programm oder so basteln. Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bioperiodik Geschrieben 1. Oktober 2009 Autor Teilen Geschrieben 1. Oktober 2009 das klingt ja sehr interessant. hast du zufällig ne doku oder sowas dazu? microsoft selbst ist ja in sachen ad und ad-tools eher auf "tarnung" bedacht. ich hab das adminpak von XP drauf, da gibts ja schon einige sachen für die AD. Wo finde ich denn das besagte funktion bzw wo kann ich dass einstellen? Viele Dank schonmal! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 1. Oktober 2009 Teilen Geschrieben 1. Oktober 2009 In der MMC Active Directory Benutzer und Computer kann man pro OU die Berechtigungen in den Eigenschaften so setzen wie man möchte. Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bioperiodik Geschrieben 1. Oktober 2009 Autor Teilen Geschrieben 1. Oktober 2009 (bearbeitet) Bei uns sieht die AD momentan so aus xyz.local --Betrieb ------Benutzer //hier sind die "normalen" Mitarbeiter --IT ------Benutzer //hier sind alle Mitarbeiter der IT Das heist nun, das ich für jede "Gruppe" der ich Rechte geben will einen eigenen Container machen muss? Also dann quasi: xyz.local --Betrieb ------Benutzer ------Personalabteilung ------Technik --IT ------Benutzer So in etwa? Bearbeitet 1. Oktober 2009 von bioperiodik Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 2. Oktober 2009 Teilen Geschrieben 2. Oktober 2009 Nein. Die Berechtigungen haben nichts mit der Struktur zu tun. Du kannst auf der Ebene Betrieb der Gruppe Personalabteilung die Rechte a,c und e geben und der Gruppe Technik f, h und j. Dadurch gelten die Berechtigungen auch unterhalb der Ebene. Wenn nicht jemand die Vererbung ausgeschaltet hat. Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bioperiodik Geschrieben 6. Oktober 2009 Autor Teilen Geschrieben 6. Oktober 2009 Hi, Vielen Dank für den Tipp, habs gefunden und schon bissel rumprobiert. Ist nicht ganz einfach die richtige Auswahl zu treffen, bin noch am ausprobieren was welche Eigenschaft freischaltet/sperrt. Aber scheinbar kann man damit sehr genau bestimmen wer was ändern darf. Du hast nicht zufällig ne kleine Erklärung aus der man entnehmen kann welche Option was freischaltet/sperrt? Wäre super! Sonst muss ich eben noch viel probieren Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 6. Oktober 2009 Teilen Geschrieben 6. Oktober 2009 Hallo, eine Übersicht habe ich auf die schnelle im Web nicht gefundne. Gibt es aber bestimmt. Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bioperiodik Geschrieben 3. November 2009 Autor Teilen Geschrieben 3. November 2009 Guten Morgen, ich hab mich jetzt mal etwas eingelesen und viel ausprobiert und jetzt eine Gruppe erstellt die nur bestimmte Felder im AD ändern darf. Das funktioniert auch wunderbar, nur mit ein paar kleinen Problemchen: Ich finde die Berechtigung für folgende Felder nicht: Nachname, E-Mail und Büro. Weis jemand wo ich da die Schreibrechte vergeben kann? Danke schonmal im Vorraus MFG Seb Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.