4
Bearbeitung von Gruppenrichtlinien durch Admin sperren
Hey,
aus Sicherheitsgründen muss ich die Bearbeitung von Grppenrichtlinien für Admins sperren. Es soll nur noch einen "Oberadmin" geben, welcher diese Zukünftig ändern darf.
Das Bearbeiten der eigentlichen Richtlinien kann ich ja über die Delegierung verbieten, indem ich lediglich dem "Oberadmin" Schreibrechte auf die Gruppenrichtlinie einräume.
Das Problem:
Andere Admins dürfen nicht verhindern können, dass eine Richtlinie auf ihren Benutzer zieht. Sprich sie dürfen im Gruppenrichtlinienverwaltungs-Editor die Vererbung oder die Verknüpfung von Richtlinien nicht deaktivieren können.
Kennt ihr eine Möglichkeit, wie ich dieses Vorhaben realisieren könnte?
Google hat bislang leider nicht die erwünschten Ergebnisse geliefert
Kann ich nicht iwo per Gruppenrichtlinie festlegen, wer die Vererbung, etc. steuern darf? Diese Einstellungen könnte ich dann in der Globalen Richtlinie unterbringen und den "Oberadmin" herausdelegieren.
aus Sicherheitsgründen muss ich die Bearbeitung von Grppenrichtlinien für Admins sperren. Es soll nur noch einen "Oberadmin" geben, welcher diese Zukünftig ändern darf.
Das Bearbeiten der eigentlichen Richtlinien kann ich ja über die Delegierung verbieten, indem ich lediglich dem "Oberadmin" Schreibrechte auf die Gruppenrichtlinie einräume.
Das Problem:
Andere Admins dürfen nicht verhindern können, dass eine Richtlinie auf ihren Benutzer zieht. Sprich sie dürfen im Gruppenrichtlinienverwaltungs-Editor die Vererbung oder die Verknüpfung von Richtlinien nicht deaktivieren können.
Kennt ihr eine Möglichkeit, wie ich dieses Vorhaben realisieren könnte?
Google hat bislang leider nicht die erwünschten Ergebnisse geliefert
Kann ich nicht iwo per Gruppenrichtlinie festlegen, wer die Vererbung, etc. steuern darf? Diese Einstellungen könnte ich dann in der Globalen Richtlinie unterbringen und den "Oberadmin" herausdelegieren.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195056
Url: https://administrator.de/contentid/195056
Printed on: April 19, 2024 at 17:04 o'clock
4 Comments
Latest comment
Hallo,
#Off Topic
was haben deine Chefs gegen dich als Admin?
Oder ist heute schon Freitag?!?!?!?
Gruß Eumel
#Off Topic
was haben deine Chefs gegen dich als Admin?
Oder ist heute schon Freitag?!?!?!?
Gruß Eumel
Die Sicherheitsstufe sieht dies so vor 
Hi,
Möglichkeit ;)
Verbiete die ManagementConsole für die Gruppenrichtlinien bei allen außer dem OberAdmin
dann hat niemand Zugriff auf die GPOs außer dem OberAdmin und so solls ja sein.
Grüße Exze
[EDIT]
gibs zu das gehört zu dem post :-P Besitzübernahme durch Admin verbieten
[/EDIT]
Möglichkeit ;)
Verbiete die ManagementConsole für die Gruppenrichtlinien bei allen außer dem OberAdmin
dann hat niemand Zugriff auf die GPOs außer dem OberAdmin und so solls ja sein.
Grüße Exze
[EDIT]
gibs zu das gehört zu dem post :-P Besitzübernahme durch Admin verbieten
[/EDIT]
Hi,
da fällt mir nur ein Aller Admins außer dem OberAdmin aus der Domain-Admin und Administratoren-Gruppe der Domain raus und dann eine Gruppe Domain-NichOberAdmin anlegen und der Gruppe dann die benötigten Rechte zuweisen (User anlegen, Gruppen anlegen, Passwort zurücksetzen, Lokale Admin-Rechte auf dne Clients, Lokale Admin-Rechte auf den Server (aber nicht auf den DC'), ...). Dann ist der "Normale" Admin kein vollwärtiger Admin mehr sonder ein Userer mit erhöhten rechten.
mfg
n4426
da fällt mir nur ein Aller Admins außer dem OberAdmin aus der Domain-Admin und Administratoren-Gruppe der Domain raus und dann eine Gruppe Domain-NichOberAdmin anlegen und der Gruppe dann die benötigten Rechte zuweisen (User anlegen, Gruppen anlegen, Passwort zurücksetzen, Lokale Admin-Rechte auf dne Clients, Lokale Admin-Rechte auf den Server (aber nicht auf den DC'), ...). Dann ist der "Normale" Admin kein vollwärtiger Admin mehr sonder ein Userer mit erhöhten rechten.
mfg
n4426
