Helpdesk und automatisierte Gruppen im AD

Gruppenverwaltung, genauer Sicherheitsgruppen Management im AD ist ein wichtiger Teil im Berechtigungsmanagement. Große Unternehmen und verteilte Organisationen kämpfen oft mit einer sehr großen Zahl an Berechtigungsgruppen. Diese Unternehmen haben oft lokale IT Koordinatoren um die tägliche Arbeit bzw Administration zu unterstützen. Leider ist die Berechtigungsorganisation trotzdem nicht ganz einfach.

Prinzipiell ist es möglich

1. Komplett die Benutzer und Berechtigungsverwaltung zu delegieren
2. Nur das automatisierte Gruppenmanagement zu delegieren

Ein Unternehmen mit 12 Standorten entschied sich für die zweite Version. In diesem Fall findet der Großteil der Benutzerverwaltung in der Firmenzentrale statt. Benutzer werden automatisiert in der Personalabteilung angelegt und mit einem Sync ins AD geschrieben. Dabei sind die relevantesten Attribute bereits gefüllt. Das Thema Berechtigungsverwaltung über Gruppen ist dann aber noch offen.

Berechtigungsverwaltung: Helpdesk und automatisierte Gruppen

Im Falle des Unternehmens wird das Department Attribut verwendet um selbst aktualisierende Abteilungsgruppen. DynamicGroup bietet einen grafischen Query Builder an, mit dem man leicht attributbasierte Gruppen erstellt.
Der Kunde erstellte und verteilte bis dato globale Einstellungen und Berechtigungen immer durch die zentrale IT Abteilung.

In den vergangenen Jahren wurden mehrere kleine Unternehmen aufgekauft und integriert. D

Diese Standorte haben bis heute lokale IT Mitarbeiter, die lokale Sonderberechtigungen pflegen. Diese Kollegen sind OU Admins mit eingeschränkten Rechten, dürfen aber selbst Gruppen pflegen.

Lokaler Helpdesk und AD Gruppenautomatisierung

Konkret ging es in diesem Fall um einen Standort mit Spezialmaschinen. Die Maschinen werden aber aus organisatorischen Gründen komplett vom Standort selbst verwaltet. Sie können nur von Mitarbeitern verwendet werden, die Mitglied einer bestimmten AD Berechtigungsgruppe sind.
Ob ein Mitarbeiter berechtigt ist die Maschine zu nutzen, ergibt sich im Beispiel aus einem Wert in extensionAttribute5.

Die lokale IT konnte nun selbst eine Sicherheitsgruppe anlegen, die Migliedschaften automatisch aktualisiert. Dazu definierte sie, dass alle Mitarbeiter mit extensionAttribute5 gleich „access_granted“ Mitglied der dynamischen Gruppe wurden. Die Pflege der Benutzer führte dann automatisch zur Berechtigung auf die Maschine.

Dynamic Group Delegation  

DynamicGroup Verwaltung delegieren

DynamicGroup kann von „vollwertigen“ Admins und delegierten Admins verwendet werden.

Auf diese Weise können verteilte Helpdesks oder lokale IT Abteilungen ebenfalls automatische Sicherheitsgruppen in ihrer OU verwalten.

Weiterführende Informationen zur Softwarelösung finden Sie auf unserer Produktseite von DynamicGroup.