AGPM - Advanced Group Policy Manager
Hallo zusammen,
ich habe mir bzgl. der Delegierung von GPO Rechten einmal den AGPM installiert.
Nun habe ich diverse Fragen.
1. Authenticated User habe ich aus den GPO Berechtigungen entfernt, sodass diese nur noch ein Inaccessible für die jeweiligen GPOs sehen.
Erste Frage: Kann man die GPOs für die User ohne Berechtigungen auf nicht sichbar stellen oder ist das so gewollt dass man das Inaccessible bei den Gruppen sieht?
2. Den AGPM habe ich nun soweit konfiguriert, dass im Change Control und Domain Delegation die Gruppen AGPM Admin, AGPM Approvers, AGPM Editors und AGPM Reviewers vorhanden sind. Wenn ich das richtig verstanden habe und man zB einen Benutzer in die Admingruppe steckt, hat dieses auf ALLES GPOs Berechtigungen.
Zweite Frage: Nun habe ich einen Testbenutzer zu den Admins hinzugefügt. Dieser kann auch im Change Control alles erledigen. GPOs hier editieren etc. Allerdings sind die GPOs im Forrest alles weiterhin mit Inaccesible versehen. Gelten die Berechtigungen über diesen Weg nur für die im Change Control zu machenden Tätigkeiten?
3. Nun soll ein Benutzer beispielsweise zu gar keiner der in Punkt 2 aufgeführten Gruppen hinzugefügt werden. Soll aber für ein ganz bestimmtes GPO verantwortlich sein und dieses bearbeiten können. Nun gehe ich in den Content vom Change Control, kontrolliere die Gruppe und setze unter These groups and users have these roles for selected GPO in the archive den Benutzer mit den passenden Berechtigungen.
Dritte Frage: Wie kann der User dann die GPO kontrollieren? Im Forrest sehe ich weiterhin Inaccessible und auf den Change Control komme ich wegen fehlender Berechtigungen nicht drauf? Geht das?
4. Sobald ich GPOs kontrolliere, werden diese unter "controlled" angezeigt.
Vierte Frage: Kann ihc die Gruppen auch wieder unkontrollieren? Sodass dieses wieder unter uncontrolled stehen?
Im Grunde möchte ich folgendes erreichen. Nicht jeder Benuter soll auf alles GPOs berechtigt sein. Einzelne Teams sollen sich um entsprechende GPOs kümmern und administrieren können. Sobald eine neue GPO erstellt wird soll diese ohen großen Adminaufwand dem entsprechenden Team vererbt / zugewiesen werden. Im normalen Group policy manager klappt das mit der Vererbung nicht. Diverse Foren haben mich somit auf dne AGPM verwiesen. Wie wäre für sowas der Best Case Fall?
Vielen Dank für Eure Hilfe.
Viele Grüße von der Nudel
ich habe mir bzgl. der Delegierung von GPO Rechten einmal den AGPM installiert.
Nun habe ich diverse Fragen.
1. Authenticated User habe ich aus den GPO Berechtigungen entfernt, sodass diese nur noch ein Inaccessible für die jeweiligen GPOs sehen.
Erste Frage: Kann man die GPOs für die User ohne Berechtigungen auf nicht sichbar stellen oder ist das so gewollt dass man das Inaccessible bei den Gruppen sieht?
2. Den AGPM habe ich nun soweit konfiguriert, dass im Change Control und Domain Delegation die Gruppen AGPM Admin, AGPM Approvers, AGPM Editors und AGPM Reviewers vorhanden sind. Wenn ich das richtig verstanden habe und man zB einen Benutzer in die Admingruppe steckt, hat dieses auf ALLES GPOs Berechtigungen.
Zweite Frage: Nun habe ich einen Testbenutzer zu den Admins hinzugefügt. Dieser kann auch im Change Control alles erledigen. GPOs hier editieren etc. Allerdings sind die GPOs im Forrest alles weiterhin mit Inaccesible versehen. Gelten die Berechtigungen über diesen Weg nur für die im Change Control zu machenden Tätigkeiten?
3. Nun soll ein Benutzer beispielsweise zu gar keiner der in Punkt 2 aufgeführten Gruppen hinzugefügt werden. Soll aber für ein ganz bestimmtes GPO verantwortlich sein und dieses bearbeiten können. Nun gehe ich in den Content vom Change Control, kontrolliere die Gruppe und setze unter These groups and users have these roles for selected GPO in the archive den Benutzer mit den passenden Berechtigungen.
Dritte Frage: Wie kann der User dann die GPO kontrollieren? Im Forrest sehe ich weiterhin Inaccessible und auf den Change Control komme ich wegen fehlender Berechtigungen nicht drauf? Geht das?
4. Sobald ich GPOs kontrolliere, werden diese unter "controlled" angezeigt.
Vierte Frage: Kann ihc die Gruppen auch wieder unkontrollieren? Sodass dieses wieder unter uncontrolled stehen?
Im Grunde möchte ich folgendes erreichen. Nicht jeder Benuter soll auf alles GPOs berechtigt sein. Einzelne Teams sollen sich um entsprechende GPOs kümmern und administrieren können. Sobald eine neue GPO erstellt wird soll diese ohen großen Adminaufwand dem entsprechenden Team vererbt / zugewiesen werden. Im normalen Group policy manager klappt das mit der Vererbung nicht. Diverse Foren haben mich somit auf dne AGPM verwiesen. Wie wäre für sowas der Best Case Fall?
Vielen Dank für Eure Hilfe.
Viele Grüße von der Nudel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306125
Url: https://administrator.de/contentid/306125
Ausgedruckt am: 05.11.2024 um 02:11 Uhr
1 Kommentar
ich habe mir bzgl. der Delegierung von GPO Rechten einmal den AGPM installiert.
Nun habe ich diverse Fragen.
1. Authenticated User habe ich aus den GPO Berechtigungen entfernt, sodass diese nur noch ein Inaccessible für die jeweiligen GPOs sehen.
Erste Frage: Kann man die GPOs für die User ohne Berechtigungen auf nicht sichbar stellen oder ist das so gewollt dass man das Inaccessible bei den Gruppen sieht?
Nun habe ich diverse Fragen.
1. Authenticated User habe ich aus den GPO Berechtigungen entfernt, sodass diese nur noch ein Inaccessible für die jeweiligen GPOs sehen.
Erste Frage: Kann man die GPOs für die User ohne Berechtigungen auf nicht sichbar stellen oder ist das so gewollt dass man das Inaccessible bei den Gruppen sieht?
Verstehst du überhaupt, wie Gruppenrichtlinien funktionieren?
Wenn sie nicht gelesen werden können, können sie auch nicht angewendet werden.
Die Gruppe "Authenticated User" enthält sowohl alle Benutzer und alle Computer.
Schau mal hier unter "Watch demonstrations and tutorials". Da gibt es Anleitungen direkt von Microsoft. Eventuell erledigen sich so die ein oder andere Frage.
3. Nun soll ein Benutzer beispielsweise zu gar keiner der in Punkt 2 aufgeführten Gruppen hinzugefügt werden. Soll aber für ein ganz bestimmtes GPO verantwortlich sein und dieses bearbeiten können. Nun gehe ich in den Content vom Change Control, kontrolliere die Gruppe und setze unter These groups and users have these roles for selected GPO in the archive den Benutzer mit den passenden Berechtigungen.
Schau dir mal ActiveDirectory Delegierungen genauer an.Nicht jeder Benuter soll auf alles GPOs berechtigt sein
Aua, Benutzer sind standardmäßig nie zur Bearbeitung von GPOs berechtigt. Den Sicherheitsfilter zu verwenden ist generell die letzte Option. Normalerweise weist man die GPO der entsprechenden OU zu und falls erforderlich setzt man für einen Benutzer/Gruppe im Sicherheitsfilter "GPO anwenden" auf verweigern...Diverse Foren haben mich somit auf dne AGPM verwiesen.
Wieso machst du dort nicht weiter? Wenn du schon einen Thread hast?