AGPM - Advanced Group Policy Manager

Mitglied: makaroni

makaroni (Level 1) - Jetzt verbinden

03.06.2016 um 13:47 Uhr, 1862 Aufrufe, 1 Kommentar

Hallo zusammen,

ich habe mir bzgl. der Delegierung von GPO Rechten einmal den AGPM installiert.
Nun habe ich diverse Fragen.
1. Authenticated User habe ich aus den GPO Berechtigungen entfernt, sodass diese nur noch ein Inaccessible für die jeweiligen GPOs sehen.

Erste Frage: Kann man die GPOs für die User ohne Berechtigungen auf nicht sichbar stellen oder ist das so gewollt dass man das Inaccessible bei den Gruppen sieht?

2. Den AGPM habe ich nun soweit konfiguriert, dass im Change Control und Domain Delegation die Gruppen AGPM Admin, AGPM Approvers, AGPM Editors und AGPM Reviewers vorhanden sind. Wenn ich das richtig verstanden habe und man zB einen Benutzer in die Admingruppe steckt, hat dieses auf ALLES GPOs Berechtigungen.

Zweite Frage: Nun habe ich einen Testbenutzer zu den Admins hinzugefügt. Dieser kann auch im Change Control alles erledigen. GPOs hier editieren etc. Allerdings sind die GPOs im Forrest alles weiterhin mit Inaccesible versehen. Gelten die Berechtigungen über diesen Weg nur für die im Change Control zu machenden Tätigkeiten?

3. Nun soll ein Benutzer beispielsweise zu gar keiner der in Punkt 2 aufgeführten Gruppen hinzugefügt werden. Soll aber für ein ganz bestimmtes GPO verantwortlich sein und dieses bearbeiten können. Nun gehe ich in den Content vom Change Control, kontrolliere die Gruppe und setze unter These groups and users have these roles for selected GPO in the archive den Benutzer mit den passenden Berechtigungen.

Dritte Frage: Wie kann der User dann die GPO kontrollieren? Im Forrest sehe ich weiterhin Inaccessible und auf den Change Control komme ich wegen fehlender Berechtigungen nicht drauf? Geht das?

4. Sobald ich GPOs kontrolliere, werden diese unter "controlled" angezeigt.

Vierte Frage: Kann ihc die Gruppen auch wieder unkontrollieren? Sodass dieses wieder unter uncontrolled stehen?

Im Grunde möchte ich folgendes erreichen. Nicht jeder Benuter soll auf alles GPOs berechtigt sein. Einzelne Teams sollen sich um entsprechende GPOs kümmern und administrieren können. Sobald eine neue GPO erstellt wird soll diese ohen großen Adminaufwand dem entsprechenden Team vererbt / zugewiesen werden. Im normalen Group policy manager klappt das mit der Vererbung nicht. Diverse Foren haben mich somit auf dne AGPM verwiesen. Wie wäre für sowas der Best Case Fall?

Vielen Dank für Eure Hilfe. :) face-smile

Viele Grüße von der Nudel
Mitglied: agowa338
05.06.2016 um 21:13 Uhr
ich habe mir bzgl. der Delegierung von GPO Rechten einmal den AGPM installiert.
Nun habe ich diverse Fragen.
1. Authenticated User habe ich aus den GPO Berechtigungen entfernt, sodass diese nur noch ein Inaccessible für die jeweiligen GPOs sehen.
Erste Frage: Kann man die GPOs für die User ohne Berechtigungen auf nicht sichbar stellen oder ist das so gewollt dass man das Inaccessible bei den Gruppen sieht?

Verstehst du überhaupt, wie Gruppenrichtlinien funktionieren?
Wenn sie nicht gelesen werden können, können sie auch nicht angewendet werden.
Die Gruppe "Authenticated User" enthält sowohl alle Benutzer und alle Computer.

Schau mal hier unter "Watch demonstrations and tutorials". Da gibt es Anleitungen direkt von Microsoft. Eventuell erledigen sich so die ein oder andere Frage.

3. Nun soll ein Benutzer beispielsweise zu gar keiner der in Punkt 2 aufgeführten Gruppen hinzugefügt werden. Soll aber für ein ganz bestimmtes GPO verantwortlich sein und dieses bearbeiten können. Nun gehe ich in den Content vom Change Control, kontrolliere die Gruppe und setze unter These groups and users have these roles for selected GPO in the archive den Benutzer mit den passenden Berechtigungen.
Schau dir mal ActiveDirectory Delegierungen genauer an.

Nicht jeder Benuter soll auf alles GPOs berechtigt sein
Aua, Benutzer sind standardmäßig nie zur Bearbeitung von GPOs berechtigt. Den Sicherheitsfilter zu verwenden ist generell die letzte Option. Normalerweise weist man die GPO der entsprechenden OU zu und falls erforderlich setzt man für einen Benutzer/Gruppe im Sicherheitsfilter "GPO anwenden" auf verweigern...

Diverse Foren haben mich somit auf dne AGPM verwiesen.
Wieso machst du dort nicht weiter? Wenn du schon einen Thread hast?
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 18 StundenFrageRouter & Routing25 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Entwicklung
Plattformübergreifende Programmierung mit Visual Studio
gelöst nagitaVor 1 TagAllgemeinEntwicklung11 Kommentare

Hallo ich habe mir vor einiger Zeit die aktuellste Version von Visual Studio installiert und bin eigentlich auch recht zufrieden damit. Ich habe vor, ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke23 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Datenbanken
Liste als PDF ausdrucken
jensgebkenVor 1 TagFrageDatenbanken6 Kommentare

Hallo Gemeinschaft, Ich habe eine Access Datenbank und darin eine Abfrage in der Kunden Adressen und Kosten angezeigt werden pro Kunde. Nun möchte ich, ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 15 StundenFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...