Jump to content

Gepl. Aufg. soll Konten deaktivieren und verschieben

ineedhelp

Von ineedhelp
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ineedhelp Proficient

ineedhelp   12

Geschrieben
Geschrieben

@All.

 

Gerne möchte ich ungenutze Benutzerkonten deaktivieren und in eine Organisationseinheit für deaktiviere Benutzer verschieben. Dieses soll automatisiert per Powershell-Skript in einer geplanter Aufgabe auf dem Domänencontroller geschehen. Für die Ausführung der geplanten Aufgabe wird unter Sicherheitsoptionen das zu verwendende Benutzerkonto eingetragen.  Gerne möchte ich diesem Konto so wenig Rechte wie nur möglich geben. Welche Rechte sind nötig, damit dieser Benutzer/Gruppe die Aufgabe erledigen kann?

 

Danke im Voraus.

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

am saubersten baust du das, indem du 

  • eine Gruppe (domänenlokal) dafür anlegst
  • identifizierst, in welchen OUs die Konten liegen, um die es geht
  • der Gruppe im AD genau die Berechtigungen auf die OU bzw. OUs gibst, die sie zur Bearbeitung braucht
  • das Task-Konto (das nur für diese Aufgabe verwendet werden sollte) in die Gruppe aufnimmst
  • den Task NICHT direkt auf einem DC erzeugst, sondern auf einem separaten Management-Rechner
  • den Ordner, in dem das Skript liegt, per Berechtigung so absicherst, dass das Task-Konto das Skript lesen kann und nur berechtigte Admins es ändern können
  • per GPO verhinderst, dass das Task-Konto sich irgendwo anders anmelden kann

Gruß, Nils

 

  • Like 1
ineedhelp Proficient

ineedhelp   12

Geschrieben
  • Autor
Geschrieben

Danke Nils für Deine ausführliche Antwort. Ein Paar Dinge hatte ich nicht bedacht wie z. B. den Skriptordner abzusichern

vor 33 Minuten schrieb NilsK:
  • der Gruppe im AD genau die Berechtigungen auf die OU bzw. OUs gibst, die sie zur Bearbeitung braucht

Genau hier habe ich noch meine Schwierigkeiten. Wo muss ich meine Haken in den erweiterten Sicherheitseinstellungen der OU setzen, damit die Konten deaktiviert und verschoben werden? Ich hoffe, dass man die Sicherheitseinstellungen auf "Untergeordnete 'Benutzer'-Objekte" anwendet und den Haken bei "'userAccountControl' schreiben" setzt. Aber wie mache es mit dem verschieben?

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

korrekt, das Sperren und Entsperren geht nur "im Paket" über das Attribut userAccountControl. Das bedeutet, dass auch andere Kontenattribute gesetzt werden können.

Das Verschieben erfordert Löschrechte in der Quell-OU und Schreibrechte in der Ziel-OU.

 

Wichtig: Um sowas zu entwickeln, braucht man ein separates (!) AD, in dem man testen kann, ohne die Produktion zu beeinträchtigen. Und man macht sowas nicht per GUI, sondern per Skript.

 

Ich zitiere mich mal selbst dazu:

 

Gruß, Nils

 

bearbeitet von NilsK
  • Like 1
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...