AD - Berechtigungen von Person X für neue Person Y schneller übernehmen

[Squall]

Hallo zusammen,

es kommt ja oft vor, dass neue Mitarbeiter, Praktikanten oder Azubis im Unternehmen anfangen, die dann die gleiche Berechtigung benötigen wie Mitarbeiter/Person xy.

Nun ist es so, dass manche Mitarbeiter in ca. 50 verschiedenen Berechtigungsgruppen sind - da ist es immer sehr Aufwendig jede einzelene Berechtigung dem neuen Mitarbeiter zuzuordnen. Vor allem wenn man das am Tag paar mal machen muss.

Gibt es da vielleicht ein Trick wie man Berechtigungen schneller übernehmen kann?

 

 

 

[Maniska]

Gerade eben schrieb Squall:

es kommt ja oft vor, dass neue Mitarbeiter, Praktikanten oder Azubis im Unternehmen anfangen, die dann die gleiche Berechtigung benötigen wie Mitarbeiter/Person xy.

Nun ist es so, dass manche Mitarbeiter in ca. 50 verschiedenen Berechtigungsgruppen sind - da ist es immer sehr Aufwendig jede einzelene Berechtigung dem neuen Mitarbeiter zuzuordnen. Vor allem wenn man das am Tag paar mal machen muss.

Gibt es da vielleicht ein Trick wie man Berechtigungen schneller übernehmen kann?

Mehrere:

• Man kann das AD Konto kopieren
• Man kann die Gruppen von KontoA via Powershell ausgeben lassen und dem anderen Konto zuweisen
• Man kann dem Fachbereich sagen dass "Berechtigen wie" nicht gemacht wird und man bitte genau wissen will WO und WAS derjenige können muss
• Man kann sich ein sinnvolles Berechtigungskonzept überlegen, in dem man den neuen Praktikanten vom Einkauf in die AD Gruppe "Praktikant Einkauf" steckt und er somit via Verschachtelung in den nötigen Gruppen ist

[Chief Wiggum]

http://blog.dikmenoglu.de/2007/10/einen-benutzer-kopieren/

Warum gehst du nicht anders an die Aufgabe und kopierst den ursprünglichen User?

[Maniska]

vor 2 Minuten schrieb Chief Wiggum:

Warum gehst du nicht anders an die Aufgabe und kopierst den ursprünglichen User?

Weil das - je nach Inhalt im Objekt, einiges an Aufwand bedeutet. Und weil man mit "stupidem kopieren" in Verbindung mit unübersichtlichen Gruppenmitgliedschaften, "schon Ausbildung hier gemacht" oder Abteilungswechseln etc. ein munteres Sammelsurium an Berechtigungen hat das der zu kopierenden User nicht haben sollte, und der Kopierte erst recht nicht.

[Chief Wiggum]

vor 1 Minute schrieb Maniska:

ein munteres Sammelsurium an Berechtigungen hat das der zu kopierenden User nicht haben sollte, und der Kopierte erst recht nicht.

Das ist aber das übliche shit-in-shit-out-Problem. Entweder kontrolliert man vorher die Quelle oder hinterher das Ergebnis auf Validität.

 

 

[allesweg]

Da jedes AD ja sauber gepflegt und strukturiert ist sowie Berechtigungen nur so lange vergeben sind, wie der Inhaber diese auch braucht, käme man mit Kopieren doch genau da hin, dass man den neuen Praktikanten Einkauf nur vom bestehenden kopiert?

 

Nicht? Oh.

[Maniska]

vor einer Stunde schrieb allesweg:

Nicht? Oh.

Nein, auch in einem super gepflegten AD kann ich nicht blind davon ausgehen, das der neue Praktikant wirklich alles was der andere Praktikant macht sich machen soll. Vielleicht hilft Prakti1 noch im Versand oder ist in ProjektXy beteiligt, Prakti2 hingegen ist auch Einkauf, aber auch in der Fibu oder bei HR, oder...

Gerade durch kopieren sammeln sich die unnötigen Rechte an.

Problem ist oft auch nicht, dass das AD nicht gepflegt wird, Stöbern das die IT als letztes mitbekommt wenn jemand die Abteilung wechselt, Wechsler oft eine gewisse Zeit die alten Rechte noch behalten sollen und es keinen Automatismus gibt wo man sagen kann "bitte ab x.x.xxxx Berechtigung ABC entfernen"

[Squall]

Hallo zusammen,

vielen Dank für Eure ganzen Beiträgen und Möglichkeiten sowas zu realisieren

Also für mich kommen eher nur zwei Methoden in frage.

1) das mit der PowerShell → wenn hier jemand die Befehle parat hat, wäre das echt nice!

2) Das kopieren von Nutzern → betrifft aber nur neue User, bei internen Veränderungen wird es schwierig.

Von daher würde ich das erst mal mit der PowerShell probieren 😉

 

[Jens_Mander]

Man könnte auch verschiedene Rollen definieren.

Diese Rollen haben die entsprechenden Berechtigungen.

Dem User werden die entsprechenden Rollen hinzugefügt.

Ader hier der gewünschte Code:

Get-ADUser -Identity <Vorlagenuser> -Properties memberof | Select-Object -ExpandProperty memberof | Add-ADGroupMember -Members <Zieluser>

[Sledgeheammer_V2]

Am 9.6.2022 um 14:56 schrieb Jens_Mander:

Man könnte auch verschiedene Rollen definieren.

Diese Rollen haben die entsprechenden Berechtigungen.

Dem User werden die entsprechenden Rollen hinzugefügt.

Ader hier der gewünschte Code:

Get-ADUser -Identity <Vorlagenuser> -Properties memberof | Select-Object -ExpandProperty memberof | Add-ADGroupMember -Members <Zieluser>

Das geht tatsächlich einfacher, wenn man nur die Gruppen haben möchte.

Get-ADPrincipalGroupMembership Mustermann | select name

 

VG

Bearbeitet 14. Juni 2022 von Sledgeheammer_V2