Guten Morgen,

Ich hoffe ich hab das Thema richtig plaziert!

Es geht um folgendes:

Ich suche nach einem Programm zur Verwaltung der Benutzerdaten in der Active Directory. Dabei soll jede Abteilung nur die für sie erforderlichen Einträge ändern können.

Kurzes Beispiel:

Ein neuer Mitarbeiter wird eingestellt.

- Die IT Abteilung legt den Benutzer an, fügt die erforderlichen Einträge (Gruppenrichtlinien, PC-Name, Email) ein.

- Die Personalabteilung trägt die Personalnummer, Kostenstellt, etc ein.

- Die Technik trägt die Telefonnummer, Schlüsselnummer... ein

Dabei soll jede Abteilung nur die Einträge sehen/ändern können die für die erforderlich ist.

Also die Personalabteilung soll z.b. kein zugriff auf die Telefonnummer haben usw.

Nun suche ich eine Software/Tool das dies bereitstellt.

Bisher habe ich nur das Active Directory Management Tools von Ensim gefunden. Da es aber scheinbar kein Vertriebspartner in Deutschland gibt hätte ich gerne noch ein paar andere Anbieter.

Über Google finde ich sonst nichts

Hat von euch jemand so ein Tool im Einsatz oder kennt eins?

Danke schonmal im Vorraus

In diesem Sinne

Hallo,

definiere keinen Zugriff. Nicht sehen oder nicht ändern dürfen?

Frank

Hm...

Da die Mitarbeiter ja sowieso zu Verschwiegenheit verpflichtet sind, würde nicht ändern reichen.

Aber nicht sichtbar wäre natürlich auch gut!

Es geht darum dass die Mitarbeiter z.b. in der Personalabteilung oder der Technik vllt IT-technisch nicht so versiert sind, und man mit einem "Vollzugriff" in der AD ja schon großen Schaden anrichten kann.

Daher wäre es gut wenn nur die Einträge bearbeitet werden können die eben für die Abteilung von Interesse sind.

Bearbeitet 1. Oktober 200915 j von bioperiodik

Hallo,

das kannst Du im Active Directory duch Berechtigungen gezielt steuern und den verschiedenen Abteilungen nur die Rechte zuteilen die notwendig sind.

Was das Programm angeht womit man das macht, im Prinzip reicht ja die MMC Active Directory Benutzer und Computer. Man könnte sich ja auch ein kleines Java Programm oder so basteln.

Frank

das klingt ja sehr interessant.

hast du zufällig ne doku oder sowas dazu? microsoft selbst ist ja in sachen ad und ad-tools eher auf "tarnung" bedacht.

ich hab das adminpak von XP drauf, da gibts ja schon einige sachen für die AD.

Wo finde ich denn das besagte funktion bzw wo kann ich dass einstellen?

Viele Dank schonmal!

In der MMC Active Directory Benutzer und Computer kann man pro OU die Berechtigungen in den Eigenschaften so setzen wie man möchte.

Frank

Bei uns sieht die AD momentan so aus

xyz.local

--Betrieb

------Benutzer //hier sind die "normalen" Mitarbeiter

--IT

------Benutzer //hier sind alle Mitarbeiter der IT

Das heist nun, das ich für jede "Gruppe" der ich Rechte geben will einen eigenen Container machen muss?

Also dann quasi:

xyz.local

--Betrieb

------Benutzer

------Personalabteilung

------Technik

--IT

------Benutzer

So in etwa?

Bearbeitet 1. Oktober 200915 j von bioperiodik

Nein. Die Berechtigungen haben nichts mit der Struktur zu tun. Du kannst auf der Ebene Betrieb der Gruppe Personalabteilung die Rechte a,c und e geben und der Gruppe Technik f, h und j. Dadurch gelten die Berechtigungen auch unterhalb der Ebene. Wenn nicht jemand die Vererbung ausgeschaltet hat.

Frank

Hi,

Vielen Dank für den Tipp, habs gefunden und schon bissel rumprobiert.

Ist nicht ganz einfach die richtige Auswahl zu treffen, bin noch am ausprobieren was welche Eigenschaft freischaltet/sperrt. Aber scheinbar kann man damit sehr genau bestimmen wer was ändern darf.

Du hast nicht zufällig ne kleine Erklärung aus der man entnehmen kann welche Option was freischaltet/sperrt? Wäre super!

Sonst muss ich eben noch viel probieren

Hallo,

eine Übersicht habe ich auf die schnelle im Web nicht gefundne. Gibt es aber bestimmt.

Frank

Guten Morgen,

ich hab mich jetzt mal etwas eingelesen und viel ausprobiert und jetzt eine Gruppe erstellt die nur bestimmte Felder im AD ändern darf.

Das funktioniert auch wunderbar, nur mit ein paar kleinen Problemchen:

Ich finde die Berechtigung für folgende Felder nicht: Nachname, E-Mail und Büro.

Weis jemand wo ich da die Schreibrechte vergeben kann?

Danke schonmal im Vorraus

MFG Seb