GPO Erstellung auf eine bestimmte Gruppe restriktieren
Hallo,
bzgl. GPOs würde ich gerne mal wissen ob es eine Möglichkeit gibt, das erstellen von GPOs zu restriktieren.
Im Moment haben wir im Unternehmen das Problem, das Domain- und Enterprise Admins GPOs erstellen dürfen.
Aus diesen beiden Gruppen können wir jedoch wegen gewisser Umstände, keine Benutzer herauslöschen.
In Zukunft soll nur noch eine bestimmt Gruppe (Beispielsweise: ACL-GPO_Edit_Modify) GPOs erstellen dürfen und keine Domain- oder Enterprise Admin.
Damit soll unkontrolliertes Erstellen, editieren und verlinken von GPOs verhindert werden.
Hat jemand ne Idee wie das gehen könnte?
Ich bin bei Mister Google leider nicht sehr weit gekommen
Gruß
tfi2013
bzgl. GPOs würde ich gerne mal wissen ob es eine Möglichkeit gibt, das erstellen von GPOs zu restriktieren.
Im Moment haben wir im Unternehmen das Problem, das Domain- und Enterprise Admins GPOs erstellen dürfen.
Aus diesen beiden Gruppen können wir jedoch wegen gewisser Umstände, keine Benutzer herauslöschen.
In Zukunft soll nur noch eine bestimmt Gruppe (Beispielsweise: ACL-GPO_Edit_Modify) GPOs erstellen dürfen und keine Domain- oder Enterprise Admin.
Damit soll unkontrolliertes Erstellen, editieren und verlinken von GPOs verhindert werden.
Hat jemand ne Idee wie das gehen könnte?
Ich bin bei Mister Google leider nicht sehr weit gekommen
Gruß
tfi2013
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374233
Url: https://administrator.de/forum/gpo-erstellung-auf-eine-bestimmte-gruppe-restriktieren-374233.html
Ausgedruckt am: 28.04.2025 um 18:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
ja, das geht. Einfach diese Gruppe im AD erstellen, die gewünschten User als Mitglieder einfügen und auf einem DC in gpedit.msc auf der Domain-Root mit entsprechenden Rechten ausstatten.
Dennoch wäre ich vorsichtig, Domain- und Enterprise-Admins einfach so aus den GPOs zu entfernen. Im schlimmsten Fall sperrst du alle aus und niemand kann mehr GPOs erstellen/bearbeiten.
Gruß
diemilz
ja, das geht. Einfach diese Gruppe im AD erstellen, die gewünschten User als Mitglieder einfügen und auf einem DC in gpedit.msc auf der Domain-Root mit entsprechenden Rechten ausstatten.
Dennoch wäre ich vorsichtig, Domain- und Enterprise-Admins einfach so aus den GPOs zu entfernen. Im schlimmsten Fall sperrst du alle aus und niemand kann mehr GPOs erstellen/bearbeiten.
Gruß
diemilz
Hi,
das geht so nicht und Du hast auch den falschen Ansatz dafür.
Es gibt zwei Rechte, welche mann unterscheiden muss. Zum Einen GPO erstellen/bearbeiten. Zum Anderen GPO mit eine Domain, einer OU oder einer Site zu verlinken.
Du musst es anders heraum aufbauen.
Alle Mitarbeiter aus den Domain- und Enterpriseadmins rausnehmen.
Dann Gruppen (Rollen) erstellen und diese für die jeweilige administrative Aufgabe berechtigen. Die Admin-Konten der Mitarbeiter dann in diese Gruppen.
Ein Domain-Admin (Enterprise sowieso) kann jederzeit GPOs bearbeiten und verlinken. Selbst wenn man an den Standardrechten zumwerkelt kann er das jederzeit wieder ändern. Sonst wäre er kein Domain- oder Enterprise-Admin.
E.
das geht so nicht und Du hast auch den falschen Ansatz dafür.
Im Moment haben wir im Unternehmen das Problem, das Domain- und Enterprise Admins GPOs erstellen dürfen.
Momentan haben wir das Problem, dass Polizisten Waffen tragen dürfen.Damit soll unkontrolliertes Erstellen, editieren und verlinken von GPOs verhindert werden.
Wenn jemand Domain- oder gar Enterprise-Admin ist, und man dann das Problem hat, dass man davon ausgehen muss, dass dieser Jemand "unkontrolliert" GPO's erstellt und verlinkt, dann liegt das Problem in der Organisation der verschiedenen Berechtigungsstufen im Administrationsmodell.Es gibt zwei Rechte, welche mann unterscheiden muss. Zum Einen GPO erstellen/bearbeiten. Zum Anderen GPO mit eine Domain, einer OU oder einer Site zu verlinken.
Du musst es anders heraum aufbauen.
Alle Mitarbeiter aus den Domain- und Enterpriseadmins rausnehmen.
Dann Gruppen (Rollen) erstellen und diese für die jeweilige administrative Aufgabe berechtigen. Die Admin-Konten der Mitarbeiter dann in diese Gruppen.
Ein Domain-Admin (Enterprise sowieso) kann jederzeit GPOs bearbeiten und verlinken. Selbst wenn man an den Standardrechten zumwerkelt kann er das jederzeit wieder ändern. Sonst wäre er kein Domain- oder Enterprise-Admin.
E.
Ich wollte es nicht sagen, um erstmal einen Lösungsansatz aufzuzeigen, aber ich stimme dir hier natürlich zu. 
Grundsätzlich sollte das Berechtigungskonzept überdacht werden.
Grundsätzlich sollte das Berechtigungskonzept überdacht werden.
Moin,
Wie jetzt? Sind alle User Admins? Wieso können ausgeschiedene Admins nicht gelöscht werden?
Nein, das geht nicht. Ich bin Admin, ich bin Gott, ich kann alles. Das ist die Regel. Ein Domain- oder Enterprise-Admin kann sich Rechte immer verschaffen, wenn er sie braucht. Selbst wenn er am Objekt keinerlei Rechte hat, kann er immer den Besitz übernehmen und sich danach die Rechte so setzen, wie er das will. Wenn er Böses will, kann er das sogar so, dass es hinterher keiner merkt.
Wenn Admins "unkontrolliert" an den GPOs rumfummeln, dann ist das ein organisatorisches und kein Rechteproblem. Entweder stimmt die Absprache in der IT-Abteilung nicht oder man hat die falschen Personen zu Admins gemacht. Beides lässt sich technisch nicht lösen.
Liebe Grüße
Erik
Zitat von @tfi2013:
Im Moment haben wir im Unternehmen das Problem, das Domain- und Enterprise Admins GPOs erstellen dürfen.
Aus diesen beiden Gruppen können wir jedoch wegen gewisser Umstände, keine Benutzer herauslöschen.
Im Moment haben wir im Unternehmen das Problem, das Domain- und Enterprise Admins GPOs erstellen dürfen.
Aus diesen beiden Gruppen können wir jedoch wegen gewisser Umstände, keine Benutzer herauslöschen.
Wie jetzt? Sind alle User Admins? Wieso können ausgeschiedene Admins nicht gelöscht werden?
In Zukunft soll nur noch eine bestimmt Gruppe (Beispielsweise: ACL-GPO_Edit_Modify) GPOs erstellen dürfen und keine Domain- oder Enterprise Admin.
Damit soll unkontrolliertes Erstellen, editieren und verlinken von GPOs verhindert werden.
Damit soll unkontrolliertes Erstellen, editieren und verlinken von GPOs verhindert werden.
Nein, das geht nicht. Ich bin Admin, ich bin Gott, ich kann alles. Das ist die Regel. Ein Domain- oder Enterprise-Admin kann sich Rechte immer verschaffen, wenn er sie braucht. Selbst wenn er am Objekt keinerlei Rechte hat, kann er immer den Besitz übernehmen und sich danach die Rechte so setzen, wie er das will. Wenn er Böses will, kann er das sogar so, dass es hinterher keiner merkt.
Wenn Admins "unkontrolliert" an den GPOs rumfummeln, dann ist das ein organisatorisches und kein Rechteproblem. Entweder stimmt die Absprache in der IT-Abteilung nicht oder man hat die falschen Personen zu Admins gemacht. Beides lässt sich technisch nicht lösen.
Liebe Grüße
Erik
Okay.
Ich hatte es mir schon gedacht, dass dies nicht so ohne weiteres möglich ist.
Wir werden natürlich das Berechtigungskonzept anpassen, so dass nur die Leute berechtigt sind / werden, die auch mit GPOs zu tun haben und nicht mehr quazi "Jedermann"...
Ich danke Euch trotzdem für Eure antworten
Ich hatte es mir schon gedacht, dass dies nicht so ohne weiteres möglich ist.
Wir werden natürlich das Berechtigungskonzept anpassen, so dass nur die Leute berechtigt sind / werden, die auch mit GPOs zu tun haben und nicht mehr quazi "Jedermann"...
Ich danke Euch trotzdem für Eure antworten
Oooch, keine Ursache ...
