Wer kennt es nicht, aus einer gewachsenen Strukur hatten am Anfang alle Mitarbeiter in der IT auch gleiche Rechte. Das Möchte man später sicher ändern oder von vorne herein richtig machen. Wir müssen somit anfangen Rechte zu delegieren für z.B. einen Helpdesk
Microsoft Server 2022: RSAT-Tools
Gehen wir einfach mal davon aus, dass Ihr für eine zentrale Verwaltung ein Managementhost nutzt. Dann macht es natürlich Sinn, dass Ihr die entsprechenden Remote-Management Tools (RSAT) installiert habt.
Jetzt steht uns z.B. die Active Directory Benutzer- und Computerverwaltung zur Verfügung.
Microsoft Server 2022: Test ohne Rechte
Wenn Ihr euch bisher an meine Anleitungen gehalten habt oder das Tier-Konzept von Microsoft schon einsetzt, dann könnt Ihr euch mit einem Tier1-Admin an einem Server (z.B. dem Management-Server hier) anmelden. Wir können die Benutzer- und Computerverwaltungskonsole öffnen und einsehen. ABER wir können natürlich keine Rechte ändern z.B. Zughörigkeit zu Gruppenmitgliedschaften.
Ein Passwort darf man ebenfalls noch nicht ändern!
Microsoft Server 2022: Built-in Gruppe Konten-Operatoren
Der einfachste und schnellste Weg für z.B. den Helpdesk wäre, sich der Built-in Gruppe Konten-Operatoren zu bedienen, denn somit habe ich schon die entsprechenden Berechtigungen default zur Verfügung.
Da ich nicht JEDEN Tier1-Admin berechtigen möchte für Helpdeskarbeiten, so erstelle ich eine Gruppe für den Helpdesk und füge die Helpdesk-Mitarbeiter hinzu.
Diese Gruppe setze ich wiederum in die "Konten-Operatoren".
Und schon habe ich die notwendigen Rechte, um Benutzer in Gruppen verschieben zu dürfen, Passwörter zurück zu setzen etc.
Eins darf man natürlich nicht, sich selbst höhere Rechte geben, als die man bekommen hat, siehe hier:
Trotz des Rechtes, Gruppenmitgliedschaften ändern zu dürfen, darf ich nicht z.B. in die Built-in Gruppe "Domänen-Admins"!
Microsoft Server 2022: Benutzerdefinierte Rechte
Wem die Berechtigungen für die Konten-Operatoren noch zu hoch sind (oder zu wenig) der könnte sich selbst ein Setup von Rechten zusammen stellen für die Helpdeskgruppe.
Gehen wir davon aus, dass wir NUR Passwörter zurück setzen können dürfen und Gruppenmitgliedschaften ändern, dann bedienen wir uns der Rechtedelegation. Zunächst einmal sollte man eine "gute" Struktur haben. Ich habe z.B. eine OU für Admins und eine für die restlichen Mitarbeiter. Ich möchte natürlich nur die Rechte auf die OU Abteilungen geben!
Mit einem rechten Mausklick wählen wir "Objektverwaltung zuweisen..."
Danach öffnent sich ein Assistent. Wir wählen im ersten Step unsere angelegte Gruppe.
Hier könnt Ihr entscheiden, was Ihr tun wollt. Wie zu sehen, setze ich für Passwörter zurück setzen den entsprechenden Haken.
Das war es auch schon und beende den Assistent.
Was ist nun genau passiert? Begeben wir uns in die Sicherheitseinstellungen der OU Abteilung und gehen auf "Erweitert" hierzu öffnet sich nachfolgender Dialog.
Wir können hier gut ersehen (markierte Zeile), dass die Helpdeskgruppe hier aufgenommen wurde und welches Rechte hier gegeben ist (Kennwort zurücksetzen).
Ab jetzt bestehen somit die notwendigen Rechte, damit ein Helpdeskmitarbeiter einem Mitarbeiter ein neues Kennwort setzen darf. Wir können das Ganze natürlich jetzt noch wiederholen für die Änderung der Gruppenzugehörigkeit.
Ich hoffe der Beitrag hat euch geholfen.
Viel Erfolg beim Nachbauen. 
