Helpdesk und automatisierte Gruppen im AD

(Letztes Update) | DynamicGroup |

 

Gruppenverwaltung, genauer Sicherheitsgruppen Management im AD ist ein wichtiger Teil im Berechtigungsmanagement. Große Unternehmen und verteilte Organisationen kämpfen oft mit einer sehr großen Zahl an Berechtigungsgruppen. Diese Unternehmen haben oft lokale IT Koordinatoren um die tägliche Arbeit bzw Administration zu unterstützen. Leider ist die Berechtigungsorganisation trotzdem nicht ganz einfach.

Prinzipiell ist es möglich

  1. Komplett die Benutzer und Berechtigungsverwaltung zu delegieren
  2. Nur das automatisierte Gruppenmanagement zu delegieren

Ein Unternehmen mit 12 Standorten entschied sich für die zweite Version. In diesem Fall findet der Großteil der Benutzerverwaltung in der Firmenzentrale statt. Benutzer werden automatisiert in der Personalabteilung angelegt und mit einem Sync ins AD geschrieben. Dabei sind die relevantesten Attribute bereits gefüllt. Das Thema Berechtigungsverwaltung über Gruppen ist dann aber noch offen.

Admin delegiert dynamische Gruppen an Helpdesk - Admin Ansicht

Berechtigungsverwaltung: Helpdesk und automatisierte Gruppen

Im Falle des Unternehmens wird das Department Attribut verwendet um selbst aktualisierende Abteilungsgruppen. DynamicGroup bietet einen grafischen Query Builder an, mit dem man leicht attributbasierte Gruppen erstellt.
Der Kunde erstellte und verteilte bis dato globale Einstellungen und Berechtigungen immer durch die zentrale IT Abteilung.

In den vergangenen Jahren wurden mehrere kleine Unternehmen aufgekauft und integriert. D

Diese Standorte haben bis heute lokale IT Mitarbeiter, die lokale Sonderberechtigungen pflegen. Diese Kollegen sind OU Admins mit eingeschränkten Rechten, dürfen aber selbst Gruppen pflegen.

Lokaler Helpdesk und AD Gruppenautomatisierung

Konkret ging es in diesem Fall um einen Standort mit Spezialmaschinen. Die Maschinen werden aber aus organisatorischen Gründen komplett vom Standort selbst verwaltet. Sie können nur von Mitarbeitern verwendet werden, die Mitglied einer bestimmten AD Berechtigungsgruppe sind.
Ob ein Mitarbeiter berechtigt ist die Maschine zu nutzen, ergibt sich im Beispiel aus einem Wert in extensionAttribute5.

Die lokale IT konnte nun selbst eine Sicherheitsgruppe anlegen, die Migliedschaften automatisch aktualisiert. Dazu definierte sie, dass alle Mitarbeiter mit extensionAttribute5 gleich „access_granted“ Mitglied der dynamischen Gruppe wurden. Die Pflege der Benutzer führte dann automatisch zur Berechtigung auf die Maschine.

Dynamic Group Delegation  

DynamicGroup Verwaltung delegieren

DynamicGroup kann von „vollwertigen“ Admins und delegierten Admins verwendet werden.

Auf diese Weise können verteilte Helpdesks oder lokale IT Abteilungen ebenfalls automatische Sicherheitsgruppen in ihrer OU verwalten.

Weiterführende Informationen zur Softwarelösung finden Sie auf unserer Produktseite von DynamicGroup.

 

Artikel erstellt am: 14.04.2020
Tags:

Folgendes könnte Sie ebenfalls interessieren

Dienstleister für Home Office in der Corona Krise

Viele Mitarbeiter dürfen oder sollen nicht mehr Ihren Arbeitsplatz besuchen.[...]

DynamicGroup 2020 – IT-Admins delegieren AD-Gruppenverwaltung

Mit DynamicGroup 2020 können Administratoren die AD-Gruppenverwaltung an andere Benutzer[...]

Customized Password-Reset Portal

Ein Service Dienstleister für Fachinformationen setzt auf das customized Self[...]

Identity Management für Anwender

LINKS

Home Office Service

FirstAttribute – Software

FirstAttribute – Tech Blog

Jobs bei FirstAttribute

AD Gruppen dynamisch machen

© 2020 · FirstAttribute AG.