• Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • Systeme
    • Active Directory
    • Entra ID – M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • IAM Compliance
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Über uns
    • News
  • Kontakt
  • Deutsch
    • Englisch
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
User Driven
Identity Management
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • Systeme
    • Active Directory
    • Entra ID – M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • IAM Compliance
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Über uns
    • News
  • Kontakt
  • Deutsch
    • Englisch

Pflege von AD Adressdaten durch Nicht-IT Fachkräfte

Allgemeines |

 

Adressdaten im Active Directory zu pflegen, ist keine einfache Angelegenheit für Nicht-IT Mitarbeiter. Zumindest nicht mit Active Directory Users and Computers.

Die Folge: IT Fachkräfte müssen Adressdaten pflegen.

Index

  • IT Administratoren und Stammdatenpflege
  • Vorbereitung und Konfiguration von FirstWare
    • Admin-Rolle definieren
    • Web Server Installation von FirstWare
    • Anmeldung und Search Root einstellen
  • Nicht-IT Mitarbeiter und Active Directory
    • AD Adressdaten durch Nicht-IT Kräfte aktualisieren lassen
    • Gruppenmitgliedschaft eines Benutzers ändern

IT Administratoren und Stammdatenpflege

IT Administratoren pflegen häufig Stammdaten in Systemen und Anwendungen. Das kann darin begründet sein, dass die Systeme entweder sicherheitsrelevant oder für nicht ITler nicht händelbar sind.

Wenn Sie in einem System Daten durch einen Nicht-IT Mitarbeiter pflegen lassen wollen, muss es also

  • übersichtlich und
  • leicht verständlich sein
  • keine Unterstützung durch die IT benötigen
  • nur editierbar sein, was zuvor festgelegt wurde
    (eingeschränkter Zugriff)

Die Bordmittel für Active Directory bieten dies leider nicht oder nur sehr begrenzt.

Es ist dennoch sinnvoll über eine Delegation der AD Administration nachzudenken, weil

  • IT Spezialisten Systeme betreuen sollten (nicht primär die Dateninhalte)
  • Geänderte Daten zuerst woanders, z.B. in anderen Abteilungen, vorliegen
  • Zeit und Kosten gespart werden können

Wie sich Nicht-IT Fachkräfte ohne finanziellen Aufwand Adressdaten im Active Directory bearbeiten können, soll am Beispiel von FirstWare IDM-Portal gezeigt werden.

 

Vorbereitung und Konfiguration von FirstWare

Zunächst sollten Sie klären, was der Mitarbeiter eigentlich tun soll. Welche Attribute soll er bearbeiten? Soll er bestimmte Sachen nicht machen können?

Im folgenden Beispiel versetzen wir einen Mitarbeiter der Personalabteilung in die Lage, neue Daten zu editieren, Benutzerkonten anzulegen und Gruppenmitgliedschaften zu bearbeiten.

Firstware sieht die Admin Rolle vor, um Benutzerkonten anlegen zu können. (→ mehr zu Rollen)
Die Admin-Rolle definieren Sie außerhalb der Software.

 

Admin-Rolle definieren

Voraussetzung für einen planvollen Einsatz von FirstWare ist ein Active Directory, in dem folgende Trennung in der OU Struktur vorgenommen wurde:

OU Struktur Trennung:

  • Benutzer Konten
  • Admin Konten
  • Service Konten

Der Vorteil der Trennung liegt darin, dass bestimmte Zweige ausgeblendet werden können. Dies führt zu einer besseren Übersicht und höheren Sicherheit, da für Delegationszwecke nur bestimmte Bereiche freigegeben werden müssen. Wenn Sie Hilfe dazu benötigen, können Sie sich gern bei uns melden.

FirstWare benutzt ein Admin oder Service-Konto um Daten im Active Directory zu schreiben.

Wenn FirstWare als Webanwendung bereitgestellt wird, kann der Inhaber der Admin-Rolle maximal die Berechtigungen des Service-Accounts nutzen.

Kurz: Ein IT Admin sollte einen Service-Account anlegen, der Lese- und Schreibberechtigungen für alles hat, was vom künftigen Nicht-IT Mitarbeiter maximal bearbeitet werden soll.

Die Berechtigungen von diesem Account sind das absolute Maximum mit dem die Software arbeiten kann.
Weitere Einschränkungen innerhalb der Software erfolgen durch:

  • das Konto mit dem sich der Benutzer anmeldet
  • die Rolle die der Anwender in der Software hat (Admin/User)
  • die Anzahl der editierbaren Attribute der Software

 

Web Server Installation von FirstWare

Nachdem ein Service Account erstellt und die OU Struktur auf Eignung überprüft wurde, kann FirstWare installiert werden.

Web Server Installation

Web Server Installation auswählen

FirstWare Web Server Installation Service Account

Das definierte Service-Konto hinterlegen

 

Am Ende der Installation wird der Link angezeigt, mit der die Anwendung erreichbar ist. Geben Sie diesen an den Nicht-IT Kollegen weiter, damit er Zugriff auf das Portal erhält.
Anmelden muss sich der Mitarbeiter später mit seinem AD Benutzerkonto.
Wenn „Enable Integrated Windows Authentication“ aktiviert wurde, wird der Nicht-ITler automatisch mit seinem Windows Konto angemeldet.

 

Anmeldung und Search Root einstellen

Nach der Anmeldung kann der Admin-Rolleninhaber und künftige Stammdaten-Verwalter anfangen zu arbeiten.

Prüfen Sie, ob dieser wirklich die Admin-Rolle hat. Andernfalls kann er mit der Benutzer-Rolle nur seine eigenen Daten bearbeiten.

Screen-Benutzer-Rolle   Screen-Admin-Rolle

 (links: Benutzer-Rolle / rechts: Admin-Rolle)

Nicht-IT Mitarbeiter hat keine Admin Rolle
Hat der Mitarbeiter noch nicht die Admin-Rolle, müssen Sie Ihn in die Gruppe der Firstware-Admins mit aufnehmen.
Dazu können Sie eine eigene AD Gruppe anlegen.

  • Starten Sie anschließend FirstWare mit einem AD Admin Account
  • Klicken Sie „Config“
  • legen Sie die unter „Identity Manager Roles“ fest, in welcher OU sich die Admins befinden

Mit Klick auf „Config“ kann nun der Einstiegspunkt im AD festgelegt werden.

Der FirstWare-Admin (Nicht-IT Mitarbeiter) kann nun Adressdaten pflegen.

 

Nicht-IT Mitarbeiter und Active Directory

Die Bearbeitung von Adress und Benutzerdaten ist einfach und intuitiv. Es ist ohne Schulung möglich, FirstWare zu verwenden.

Einmal eingerichtet, können Benutzer- und Gruppenattribute, wie AD Adressdaten durch Nicht-IT Kräfte sehr schnell bearbeitet werden.
 

AD Adressdaten durch Nicht-IT Kräfte aktualisieren lassen

Ein Nicht-IT Mitarbeiter kann sehr einfach Adressdaten aktualisieren.

Ein Beispiel:

  • Mitarbeiter Brian Wood
  • Straße alt: 85 Denham St.
  • Straße neu: 115 Green Ave
  1. FirstWare starten (URL eingeben, bzw. Lesezeichen im Browser nutzen)
    Nach „Brian“ suchen
     
  2. Manage klicken, um Brian Wood zu bearbeiten
     
  3. Zu änderndes Feld (Attribut) auswählen und editieren, hier: Street
     
  4. Neue Straße eintragen, Save klicken – fertig

Natürlich lassen sich genauso alle anderen AD Adressdaten durch Nicht-IT Mitarbeiter bearbeiten.
Wenn Sie zusätzliche Attribute benötigen, z.B. auf Grund einer Schema-Erweiterung, kontaktieren Sie uns einfach.

 

Gruppenmitgliedschaft eines Benutzers ändern

Genauso einfach ist es, den Benutzer in eine Active Directory Gruppe aufzunehmen. (→ Gruppenverwaltung)

Einsatzmöglichkeiten von AD Gruppen:

  • Abteilungszugehörigkeit (mehr)
  • Laufwerksberechtigungen / Ordnerberechtigungen (mehr)
  • Mail Verteiler Listen (mehr)
  • Softwareverteilung
  • andere Berechtigungen…

 

Beispiel – Mitarbeiter wechselt die Abteilung:

  • Mitarbeiter Brian Wood
  • Alte Abteilung: Logistics
  • Neue Abteilung: Planning
  • Überberechtigung vermeiden! Aus Gruppe Logistics entfernen
  1. Benutzer „Brian Wood“ suchen und „Manage“ zum Bearbeiten klicken
     
  2. Registerkarte „Group Membership“ klicken, um alle Gruppen zu sehen, in denen der Benutzer Mitglied ist
     
  3. Gruppe der neuen Abteilung „Planning“ suchen und per Drag & Drop nach rechts ziehen
  4. Um Überberechtigung zu vermeiden: Benutzer aus alter Abteilung „Logistics“ entfernen
     
  5. Zum Abschluss „Save“ klicken – fertig

Abteilungszuordnung und AD Adressdaten durch Nicht-IT Mitarbeiter bearbeiten zu lassen, ist nur ein Teil der Möglichkeiten, die Ihr AD bietet.
Mit Gruppen und Attributen können sehr viele Dinge gesteuert werden. Wenn Sie mehr darüber wissen wollen, freuen wir uns auf Ihre Nachricht.

Tags: DelegationNicht-IT Mitarbeiter
Teilen

Search

Neueste Beiträge

  • Release von IDM-Portal 5.1 – Verwaltung von Entra ID Gruppen
  • Passwort-Regeln prüfen
  • Zentrale Verwaltung von Gastkonten in hybriden Umgebungen – AD und Entra ID
  • Onboarding-Prozesse bei Landkreisen optimieren
  • Mandantenfähiges IAM System: Das ist wichtig

Kategorien

  • Allgemeines
  • Authorization Management
  • Compliance
  • Identity Management
  • News
  • Projekte
  • Systeme


FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
  • Kontakt

News

  • Release von IDM-Portal 5.1 – Verwaltung von Entra ID Gruppen
  • Passwort-Regeln prüfen
  • Zentrale Verwaltung von Gastkonten in hybriden Umgebungen – AD und Entra ID
  • Onboarding-Prozesse bei Landkreisen optimieren
  • Mandantenfähiges IAM System: Das ist wichtig
  • Vergabe von Kalenderberechtigungen freigeben

© 2024 · FirstAttribute AG.

Next