Jump to content

Gepl. Aufg. soll Konten deaktivieren und verschieben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

@All.

 

Gerne möchte ich ungenutze Benutzerkonten deaktivieren und in eine Organisationseinheit für deaktiviere Benutzer verschieben. Dieses soll automatisiert per Powershell-Skript in einer geplanter Aufgabe auf dem Domänencontroller geschehen. Für die Ausführung der geplanten Aufgabe wird unter Sicherheitsoptionen das zu verwendende Benutzerkonto eingetragen.  Gerne möchte ich diesem Konto so wenig Rechte wie nur möglich geben. Welche Rechte sind nötig, damit dieser Benutzer/Gruppe die Aufgabe erledigen kann?

 

Danke im Voraus.

Link to post

Moin,

 

am saubersten baust du das, indem du 

  • eine Gruppe (domänenlokal) dafür anlegst
  • identifizierst, in welchen OUs die Konten liegen, um die es geht
  • der Gruppe im AD genau die Berechtigungen auf die OU bzw. OUs gibst, die sie zur Bearbeitung braucht
  • das Task-Konto (das nur für diese Aufgabe verwendet werden sollte) in die Gruppe aufnimmst
  • den Task NICHT direkt auf einem DC erzeugst, sondern auf einem separaten Management-Rechner
  • den Ordner, in dem das Skript liegt, per Berechtigung so absicherst, dass das Task-Konto das Skript lesen kann und nur berechtigte Admins es ändern können
  • per GPO verhinderst, dass das Task-Konto sich irgendwo anders anmelden kann

Gruß, Nils

 

  • Like 1
Link to post

Danke Nils für Deine ausführliche Antwort. Ein Paar Dinge hatte ich nicht bedacht wie z. B. den Skriptordner abzusichern

vor 33 Minuten schrieb NilsK:
  • der Gruppe im AD genau die Berechtigungen auf die OU bzw. OUs gibst, die sie zur Bearbeitung braucht

Genau hier habe ich noch meine Schwierigkeiten. Wo muss ich meine Haken in den erweiterten Sicherheitseinstellungen der OU setzen, damit die Konten deaktiviert und verschoben werden? Ich hoffe, dass man die Sicherheitseinstellungen auf "Untergeordnete 'Benutzer'-Objekte" anwendet und den Haken bei "'userAccountControl' schreiben" setzt. Aber wie mache es mit dem verschieben?

Link to post

Moin,

 

korrekt, das Sperren und Entsperren geht nur "im Paket" über das Attribut userAccountControl. Das bedeutet, dass auch andere Kontenattribute gesetzt werden können.

Das Verschieben erfordert Löschrechte in der Quell-OU und Schreibrechte in der Ziel-OU.

 

Wichtig: Um sowas zu entwickeln, braucht man ein separates (!) AD, in dem man testen kann, ohne die Produktion zu beeinträchtigen. Und man macht sowas nicht per GUI, sondern per Skript.

 

Ich zitiere mich mal selbst dazu:

 

Gruß, Nils

 

Edited by NilsK
  • Like 1
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...