Pflege von AD Adressdaten durch Nicht-IT Fachkräfte

Adressdaten im Active Directory zu pflegen ist keine einfache Angelegenheit für Nicht-IT Mitarbeiter. Zumindest nicht mit Active Directory Users and Computers.

Die Folge: IT Fachkräfte müssen Adressdaten pflegen.

 

 

IT Administratoren und Stammdatenpflege

IT Administratoren pflegen häufig Stammdaten in Systemen und Anwendungen. Das kann darin begründet sein, dass die Systeme entweder sicherheitsrelevant oder für nicht ITler nicht händelbar sind.

Wenn Sie in einem System Daten durch einen Nicht-IT Mitarbeiter pflegen lassen wollen, muss es also

  • übersichtlich und
  • leicht verständlich sein
  • keine Unterstützung durch die IT benötigen
  • nur editierbar sein, was zuvor festgelegt wurde
    (eingeschränkter Zugriff)

Die Bordmittel für Active Directory bieten dies leider nicht oder nur sehr begrenzt.

Es ist dennoch sinnvoll über eine Delegation der AD Administration nachzudenken, weil

  • IT Spezialisten Systeme betreuen sollten (nicht primär die Dateninhalte)
  • Geänderte Daten zuerst woanders, z.B. in anderen Abteilungen, vorliegen
  • Zeit und Kosten gespart werden können

Wie sich Nicht-IT Fachkräfte ohne finanziellen Aufwand Adressdaten im Active Directory bearbeiten können, soll am Beispiel von FirstWare gezeigt werden.

 

Vorbereitung und Konfiguration von FirstWare

Zunächst sollten Sie klären, was der Mitarbeiter eigentlich tun soll. Welche Attribute soll er bearbeiten? Soll er bestimmte Sachen nicht machen können?

Im folgenden Beispiel versetzen wir einen Mitarbeiter der Personalabteilung in die Lage, neue Daten zu editieren, Benutzerkonten anzulegen und Gruppenmitgliedschaften zu bearbeiten.

Firstware-FreeEdition sieht die Admin Rolle vor, um Benutzerkonnten anlegen zu können. ( mehr zu Rollen in FirstWare-FreeEdition)
Die Admin-Rolle definieren Sie außerhalb der Software.

 

Admin-Rolle definieren

Voraussetzung für einen planvollen Einsatz von FirstWare-FreeEdition ist ein Active Directory, in dem folgende Trennung in der OU Struktur vorgenommen wurde:

OU Struktur Trennung:

  • Benutzer Konten
  • Admin Konten
  • Service Konten

Der Vorteil der Trennung liegt darin, dass bestimmte Zweige ausgeblendet werden können. Die führt zu einer besseren Übersicht und höheren Sicherheit, da für Delegationszwecke nur bestimmte Bereiche freigegeben werden müssen. Wenn Sie Hilfe dazu benötigen, können Sie sich gern bei uns melden.

FirstWare-FreeEdition benutzt ein Admin oder Service-Konto um Daten im Active Directory zu schreiben.

Wenn FirstWare-FreeEdition als Webanwendung (IIS Installation) bereitgestellt wird, kann der Inhaber der Admin-Rolle maximal die Berechtigungen des Service-Accounts nutzen.

Kurz: Ein IT Admin sollte einen Service-Account anlegen, der Lese- und Schreibberechtigungen für alles hat, was vom künftigen Nicht-IT Mitarbeiter maximal bearbeitet werden soll.

Die Berechtigungen von diesem Account sind das absolute Maximum mit dem die Software arbeiten kann.
Weitere Einschränkungen innerhalb der Software erfolgen durch:

  • das Konto mit dem sich der Benutzer anmeldet
  • die Rolle die der Anwender in der Software hat (Admin/User)
  • die Anzahl der editierbaren Attribute der Software

 

Web Server Installation von FirstWare

Nachdem ein Service Account erstellt und die OU Struktur auf Eignung überprüft wurde, kann FirstWare installiert werden. ( Download)

Web Server Installation

Web Server Installation auswählen

 

FirstWare Web Server Installation Service Account

Das definierte Service-Konto hinterlegen

 

Am Ende der Installation wird der Link angezeigt, mit der die Anwendung erreichbar ist. Geben Sie diesen an den Nicht-IT Kollegen weiter, damit er Zugriff auf das Portal erhält.
Anmelden muss sich der Mitarbeiter später mit seinem AD Benutzerkonto.
Wenn „Enable Integrated Windows Authentication“ aktiviert wurde, wird der Nicht-ITler automatisch mit seinem Windows Konto angemeldet.

 

Anmeldung und Search Root einstellen

Nach der Anmeldung kann der Admin-Rollen Inhaber und künftige Stammdaten-Verwalter anfangen zu arbeiten.

Prüfen Sie, ob dieser wirklich die Admin-Rolle hat. Andernfalls kann er mit der Benutzer-Rolle nur seine eigenen Daten bearbeiten.

Screen-Benutzer-Rolle   Screen-Admin-Rolle

 (links: Benutzer-Rolle / rechts: Admin-Rolle)

Nicht-IT Mitarbeiter hat keine Admin Rolle

Mit Klick auf „Config“ kann nun der Einstiegspunkt im AD festgelegt werden.

Der FirstWare-Admin (Nicht-IT Mitarbeiter) kann nun Adressdaten pflegen.

 

Nicht-IT Mitarbeiter und Active Directory

Die Bearbeitung von Adress und Benutzerdaten ist einfach und intuitiv. Es ist ohne Schulung möglich, FirstWare zu verwenden.

Einmal eingerichtet, können Benutzer- und Gruppenattribute, wie AD Adressdaten durch Nicht-IT Kräfte sehr schnell bearbeitet werden.
 

AD Adressdaten durch Nicht-IT Kräfte aktualisieren lassen

Ein Nicht-IT Mitarbeiter kann sehr einfach Adressdaten aktualisieren.

Ein Beispiel:

  • Mitarbeiter Brian Wood
  • Straße alt: 85 Denham St.
  • Straße neu: 115 Green Ave

 

  1. FirstWare starten (URL eingeben, bzw. Lesezeichen im Browser nutzen)
    Nach „Brian“ suchen
    UserManagement-Benutzerkonten-suchen

     
  2. Manage klicken, um Brian Wood zu bearbeiten
    UserManagement-Benutzerkonten-auswählen

     
  3. Zu änderndes Feld (Attribut) auswählen und editieren, hier: Street
    UserManagement-Benutzer-Strasse-aendern
     
  4. Neue Straße eintragen, Save klicken – fertig
    UserManagement-Benutzer-Strasse-aendern2

Natürlich lassen sich genauso alle anderen AD Adressdaten durch Nicht-IT Mitarbeiter bearbeiten.
Wenn Sie zusätzliche Attribute benötigen, z.B. auf Grund einer Schema-Erweiterung, kontaktieren Sie uns einfach.

 

Gruppenmitgliedschaft eines Benutzers ändern

Genauso einfach ist es, den Benutzer in eine Active Directory Gruppe aufzunehmen. ( Gruppenverwaltung)

Einsatzmöglichkeiten von AD Gruppen:

  • Abteilungszugehörigkeit (mehr)
  • Laufwerksberechtigungen / Ordnerberechtigungen (mehr)
  • Mail Verteiler Listen (mehr)
  • Softwareverteilung
  • andere Berechtigungen…

 

Beispiel – Mitarbeiter wechselt die Abteilung:

  • Mitarbeiter Brian Wood
  • Alte Abteilung: Logistics
  • Neue Abteilung: Planning
  • Überberechtigung vermeiden! Aus Gruppe Logistics entfernen
  1. Benutzer „Brian Wood“ suchen und „Manage“ zum Bearbeiten klicken
    UserManagement-Mitgliedschaft-hinzufuegen-02

     
  2. Registerkarte „Group Membership“ klicken, um alle Gruppen zu sehen, in denen der Benutzer Mitglied istUserManagement-Mitgliedschaft-hinzufuegen-03
     
  3. Gruppe der neuen Abteilung „Planning“ suchen und per Drag & Drop nach rechts ziehenUserManagement-Mitgliedschaft-hinzufuegen-04

     
    UserManagement-Mitgliedschaft-hinzufuegen-05

     

  4. Um Überberechtigung zu vermeiden: Benutzer aus alter Abteilung „Logistics“ entfernenUserManagement-Mitgliedschaft-hinzufuegen-06
     
  5. Zum Abschluss „Save“ klicken – fertig
    UserManagement-Mitgliedschaft-hinzufuegen-07

 

Abteilungszuordnung und AD Adressdaten durch Nicht-IT Mitarbeiter bearbeiten zu lassen ist nur ein Teil der Möglichkeiten, die Ihr AD bietet.
Mit Gruppen und Attributen können sehr viele Dinge gesteuert werden. Wenn Sie mehr darüber wissen wollen, freuen wir uns auf Ihre Nachricht.

 

 

 

 

This entry was posted in Allgemein. Bookmark the permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*
Website

Time limit is exhausted. Please reload CAPTCHA.