HowTo: AD-Join Delegation

Es gibt den Fall, da möchte man anderen Anwendern (IT-Helpdesk, Externe Dienstleister für PC-Rollout-Projekte,…) die Möglichkeit geben, dass neue Geräte in die Active Directory aufgenommen werden dürfen, auch bekannt als „AD join“. Nun möchte man diesen allerdings nicht gleich in die Gruppe „Domain Admins“ aufnehmen, immerhin gilt in der IT-Sicherheit „Principle of least priviledge“ (kurz: „POLP“).

Anhand der offiziellen Microsoft-Support-Seite hier eine kurze Anleitung:

DIe Geräte, die aufgenommen werden sollen, müssen vorher in der AD durch einen entsprechenden Administrator angelegt (eng. „prestaged“) werden. Das sollte man in einer separaten OU machen, bspw.:

Ich empfehle, vorher eine Gruppe anzulegen und diese hier in der Anleitung zu verwenden.
Vorteile:
– man muss das nicht für jeden Anwender neu durchführen
– man kann durch Entfernen des Anwenders aus der Gruppe ihm diese Rechte ganz schnell wieder entziehen
– man sieht immer schnell, wer diese Rechte hat (Anwender in der Gruppe)

Für das Einrichten der notwendigen Delegation wird folgendermaßen vorgegangen:

  1. Das Tool „Active Directory Users and Computers“ öffnen (bspw. [WIN]+[R], dann „dsa.msc“ eintippen und auf [OK] klicken)
  2. Auf der linken Seite auf die Staging-OU wechseln, darauf einen Rechtsklick ausführen und im Kontext-Menü auf „Delegate Control“ klicken
  3. Im Assistenten zuerst auf [Next] dann den zu berechtigenden Benutzer oder Gruppe (siehe Empfehlung oben^^). Weiter mit [Next]
  4. Da es für diesen Fall keine passende Vorlage gibt, auf „Create a custom task to delegate“ klicken. Weiter mit [Next]
  5. Da das Recht nur für Computer-Objekte gelten soll, hier auf „Only the following objects in the folder“ klicken und in der Liste dann „Computer objects“ auswählen, sowie die beiden Checkboxen
    – Create selected objects in this folder
    – Delete selected objects in this folder
    Weiter mit [Next]
  6. In der Liste der „Permissions“ wird mit den Checkboxen das ausgewählt:
    – Reset password
    – Read and write Account restrictions
    – Validate write to DNS host name
    – Validate write to service principal name
    Weiter mit [Next]
  7. Es wird nochmal eine Übersicht aller gewählten Einstellungen angezeigt. Weiter mit [FINISH]
  8. Danach kann das Tool „Active Directory Users and Computers“ wieder geschlossen werden

Hier die Anleitung in Bildern:

Test – Funktioniert das auch?

Und natürlich sollte das auch getestet werden… ich habe hierzu eine neue VM genommen und werde mittels abgewandeltem PowerShell (siehe Artikel PowerShell: Client/Server zur Domäne hinzufügen) diese nun versuchen in die AD aufzunehmen. Also nicht „mydomain\ADadmin“ sondern eben „mydomain\ADjoin„:

Permanentlink zu diesem Beitrag: https://ronny-boettcher.de/technik/windows/howto-ad-join-delegation

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.