Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

AD - Berechtigungen von Person X für neue Person Y schneller übernehmen

Squall
in Systemadministratoren und Netzwerktechniker

Empfohlene Antworten

Veröffentlicht

Hallo zusammen,

es kommt ja oft vor, dass neue Mitarbeiter, Praktikanten oder Azubis im Unternehmen anfangen, die dann die gleiche Berechtigung benötigen wie Mitarbeiter/Person xy.

Nun ist es so, dass manche Mitarbeiter in ca. 50 verschiedenen Berechtigungsgruppen sind - da ist es immer sehr Aufwendig jede einzelene Berechtigung dem neuen Mitarbeiter zuzuordnen. Vor allem wenn man das am Tag paar mal machen muss.

Gibt es da vielleicht ein Trick wie man Berechtigungen schneller übernehmen kann?

 

 

 

grafik.png

Gerade eben schrieb Squall:

es kommt ja oft vor, dass neue Mitarbeiter, Praktikanten oder Azubis im Unternehmen anfangen, die dann die gleiche Berechtigung benötigen wie Mitarbeiter/Person xy.

Nun ist es so, dass manche Mitarbeiter in ca. 50 verschiedenen Berechtigungsgruppen sind - da ist es immer sehr Aufwendig jede einzelene Berechtigung dem neuen Mitarbeiter zuzuordnen. Vor allem wenn man das am Tag paar mal machen muss.

Gibt es da vielleicht ein Trick wie man Berechtigungen schneller übernehmen kann?

Mehrere:

  • Man kann das AD Konto kopieren
  • Man kann die Gruppen von KontoA via Powershell ausgeben lassen und dem anderen Konto zuweisen
  • Man kann dem Fachbereich sagen dass "Berechtigen wie" nicht gemacht wird und man bitte genau wissen will WO und WAS derjenige können muss
  • Man kann sich ein sinnvolles Berechtigungskonzept überlegen, in dem man den neuen Praktikanten vom Einkauf in die AD Gruppe "Praktikant Einkauf" steckt und er somit via Verschachtelung in den nötigen Gruppen ist
    vor 2 Minuten schrieb Chief Wiggum:

    Warum gehst du nicht anders an die Aufgabe und kopierst den ursprünglichen User?

    Weil das - je nach Inhalt im Objekt, einiges an Aufwand bedeutet. Und weil man mit "stupidem kopieren" in Verbindung mit unübersichtlichen Gruppenmitgliedschaften, "schon Ausbildung hier gemacht" oder Abteilungswechseln etc. ein munteres Sammelsurium an Berechtigungen hat das der zu kopierenden User nicht haben sollte, und der Kopierte erst recht nicht.

    vor 1 Minute schrieb Maniska:

    ein munteres Sammelsurium an Berechtigungen hat das der zu kopierenden User nicht haben sollte, und der Kopierte erst recht nicht.

    Das ist aber das übliche shit-in-shit-out-Problem. Entweder kontrolliert man vorher die Quelle oder hinterher das Ergebnis auf Validität.

     

     

    Da jedes AD ja sauber gepflegt und strukturiert ist sowie Berechtigungen nur so lange vergeben sind, wie der Inhaber diese auch braucht, käme man mit Kopieren doch genau da hin, dass man den neuen Praktikanten Einkauf nur vom bestehenden kopiert?

     

    Nicht? Oh.

    vor einer Stunde schrieb allesweg:

    Nicht? Oh.

    Nein, auch in einem super gepflegten AD kann ich nicht blind davon ausgehen, das der neue Praktikant wirklich alles was der andere Praktikant macht sich machen soll. Vielleicht hilft Prakti1 noch im Versand oder ist in ProjektXy beteiligt, Prakti2 hingegen ist auch Einkauf, aber auch in der Fibu oder bei HR, oder...

    Gerade durch kopieren sammeln sich die unnötigen Rechte an.

    Problem ist oft auch nicht, dass das AD nicht gepflegt wird, Stöbern das die IT als letztes mitbekommt wenn jemand die Abteilung wechselt, Wechsler oft eine gewisse Zeit die alten Rechte noch behalten sollen und es keinen Automatismus gibt wo man sagen kann "bitte ab x.x.xxxx Berechtigung ABC entfernen"

    • Autor

    Hallo zusammen,

    vielen Dank für Eure ganzen Beiträgen und Möglichkeiten sowas zu realisieren :)

    Also für mich kommen eher nur zwei Methoden in frage.

    1) das mit der PowerShell → wenn hier jemand die Befehle parat hat, wäre das echt nice! :)

    2) Das kopieren von Nutzern → betrifft aber nur neue User, bei internen Veränderungen wird es schwierig.

    Von daher würde ich das erst mal mit der PowerShell probieren 😉

     

    • 2 Wochen später...

    Man könnte auch verschiedene Rollen definieren.

    Diese Rollen haben die entsprechenden Berechtigungen.

    Dem User werden die entsprechenden Rollen hinzugefügt.

    Ader hier der gewünschte Code:

    Get-ADUser -Identity <Vorlagenuser> -Properties memberof | Select-Object -ExpandProperty memberof | Add-ADGroupMember -Members <Zieluser>

    Am 9.6.2022 um 14:56 schrieb Jens_Mander:

    Man könnte auch verschiedene Rollen definieren.

    Diese Rollen haben die entsprechenden Berechtigungen.

    Dem User werden die entsprechenden Rollen hinzugefügt.

    Ader hier der gewünschte Code:

    Get-ADUser -Identity <Vorlagenuser> -Properties memberof | Select-Object -ExpandProperty memberof | Add-ADGroupMember -Members <Zieluser>

    Das geht tatsächlich einfacher, wenn man nur die Gruppen haben möchte. 

    Get-ADPrincipalGroupMembership Mustermann | select name

     

    VG

    Bearbeitet von Sledgeheammer_V2

    Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

    Zur Themenliste gehen

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.