Was soll erreicht werden?
Im Masterkey Modus wird immer der zuständige Benutzer auf die importieren Benutzer, Organisationseinheiten und Rollen berechtigt. In der Regel ist dieser zuständige Benutzer zuächst der Administrator. (Der Einfachheit halber wird hier also vom Administrator gesprochen.) Dieses Szenario hat folgende Auswirkungen:
- Importierte Elemente können nur durch den Administrator synchronisiert und gelöscht werden
- Die Benutzerrechte und -einstellunge der importierten Benutzer können nur durch den Administrator angepasst werden
- Durch die Rechte auf die Rollen wird der Administrator auf Datensätze berechtigt
Oftmals soll der Administrator auf alle Daten berechtigt sein sowie alle administrativen Aufgaben wahrnehmen. Ist dies gewünscht, spricht nichts gegen das oben genannte Szenario.
In folgenden Szenarien muss ein anderer Benutzer für die Verwaltung von Organisationseinheiten, Benutzern und Rollen verwendet werden:
- Der Administrator soll zwar auf alles berechtigt sein, aber nur im Notfall verwendet werden (Passwort im Tresor)
- Der Administrator soll über die Rollen auf keine Datensätze berechtigt werden
- Es soll ein anderer Benutzer (oder mehrere) für die Benutzerverwaltung geschaffen werden
Es gilt zu Beachten, dass für den AD Import nur lokale Benutzer verwendet werden können!
Vorgehensweise
Um einen neuen Benutzer zu erstellen und entsprechend zu berechtigen sollte wie folgt vorgegangen werden. Der Einfachheit halber, wird er Benutzer "ImportUser" genannt.
Import User anlegen
- Der Benutzer wird wie gewohnt angelegt
- Beim User "Restriktiver User" anhaken
- Passwort vergeben
- Passwortänderung beim nächsten Start ggf. deaktivieren
Benutzerrechte
- Sobald der User erstellt ist, werden folgende Benutzerrechte vergeben:
- Kann Active Directory Profile verwalten
- Kann globale Benutzereinstellungen und -rechte bearbeiten
- Kann neue Organisationseinheiten anlegen
- Kann neue Rollen anlegen
- Kann neue Benutzer anlegen
- Organisationsstruktur Modul anzeigen
- Rollen Modul anzeigen
Rechte auf das AD Profil
- Rechtsklick auf das Profil
- ImportUser mit allen Rechten hinzufügen
Anpassen des AD Profils
- ImportUser statt dem Administrator "zuständigen Benutzer" eintragen
- Unbedingt den Administrator als "weiteren zuständigen Benutzer" hinterlegen (sonst kann er abschließend nicht mehr synchronisieren und somit die Rechte nicht übertragen)
- Speichern und Synchronisieren
- Prüfen der Rechte auf bestehende Organisationseinheiten, Rollen und Benutzer. Der ImportUser muss hier mit allen Rechten und Mitgliedschaft berechtigt sein
- Nun muss der ImportUser muss mit allen Rechten auf den Administrator berechtigt werden
Übertragen der Rechte auf den ImportUser
- Anmelden mit dem neuen User
- Der Administrator muss aus dem AD Profil entfernt werden
- Speichern und Synchronisieren
- Der Administrator sollte nun keine Rechte mehr auf die Rollen haben. Die Rechte auf Organisationseinheiten und Benutzer bleiben bestehen. Dies ist aber kein Problem, da diese Objekte nicht bearbeitet werden können, wenn Sie im Masterkey Modus importiert wurden
Ab sofort kann der neue, restriktive User Benutzer, Organisationseinheiten und Rollen bearbeiten.