6
Gruppenrichtlinie erstellen nicht möglich - trotz Berechtigung auf Organisationseinheit
Hallo Zusammen,
Ziel ist es einem Admin lediglich auf eine OU im Active Directory das Erstellen von Gruppenrichtlinien für Server zu ermöglichen.
Auf die besagte OU wurde testweise Vollzugriff an eine Gruppe delegiert, in der dieser Admin Mitglied ist.
Beim Erstellen der Gruppenrichtlinie erscheint im GPMC sofort die Meldung "Keine Berechtigung".
Muss dieser Admin noch zusätzlich zwingend in die Gruppen Richtlinienersteller und Besitzer oder wie kann die GPO Erstellung detailliert delegiert werden?
Dieser Admin soll nur auf diese eine OU GPOs erstellen und verlinken.
Danke im Voraus für Eure Hilfe/Tipps.
Gruß
Ziel ist es einem Admin lediglich auf eine OU im Active Directory das Erstellen von Gruppenrichtlinien für Server zu ermöglichen.
Auf die besagte OU wurde testweise Vollzugriff an eine Gruppe delegiert, in der dieser Admin Mitglied ist.
Beim Erstellen der Gruppenrichtlinie erscheint im GPMC sofort die Meldung "Keine Berechtigung".
Muss dieser Admin noch zusätzlich zwingend in die Gruppen Richtlinienersteller und Besitzer oder wie kann die GPO Erstellung detailliert delegiert werden?
Dieser Admin soll nur auf diese eine OU GPOs erstellen und verlinken.
Danke im Voraus für Eure Hilfe/Tipps.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 572670
Url: https://administrator.de/contentid/572670
Printed on: April 24, 2024 at 14:04 o'clock
6 Comments
Latest comment
Moin.
Ja, so ist es.
Ja, so ist es.
Hi,
wie DWW schon schreibt.
Eine Anmerkung dazu:
Wenn man das so macht, dann kann nur dieser eine Admin die von ihm erstellten GPO bearbeiten. (neben den Domänen- und Organisations-Admins)
Dieser Aspekt sollte beachtet werden, wenn es plötzlich mehr als ein Admin werden soll, welchen man dieses Recht für eine OU delegieren will.
E.
wie DWW schon schreibt.
Eine Anmerkung dazu:
Wenn man das so macht, dann kann nur dieser eine Admin die von ihm erstellten GPO bearbeiten. (neben den Domänen- und Organisations-Admins)
Dieser Aspekt sollte beachtet werden, wenn es plötzlich mehr als ein Admin werden soll, welchen man dieses Recht für eine OU delegieren will.
E.
Hallo,
leider funktioniert es mit folgenden zwei Einstellungen nicht, die die Rechte delegieren sollen:
1. Auf die betreffende OU einer Gruppe in der der betreffende Benutzer ("GPO-Ersteller") Mitglied ist Vollzugriff erteilt.
2. Die besagte Gruppe, in der der betreffende Benutzer ("GPO-Ersteller") Mitglied ist in die Gruppe Richtlinienersteller und Besitzer hinzugefügt.
Trotzdem erscheint in den RSAT Tools / MMC Snapin Gruppenrichtlinienverwaltung die Meldung Zugriff verweigert beim Erstellen einer neuen GPO per Rechtsklick auf den Ordner "Gruppenrichlinienobjekte" oder an der OU beim Erstellen neuer GPO inkl. Link.
Hat bitte jemand dazu noch Hinweise / Tipps?
Muss denn der Pfad im Dateisystem für die GPOs (..Domänenname\sysvol\Policys) separat berechtigt werden, denn Richtlinienersteller und Besitzer ist in der ACL kein Mitglied?
Oder vergibt das System hier intern (im Algorithmus) entsprechende Schreibberechtigung?
Was ist zu tun, wenn mehr als ein Admin diese erstellten GPOs bearbeiten soll? (müssen dann per im WWW verfügbaren Skripts die GPO angepasst werden was Berechtigungen/Besitzer angeht?)
Reicht es nicht aus beim Delegieren mit Gruppen zu arbeiten?
Danke
Gruß
leider funktioniert es mit folgenden zwei Einstellungen nicht, die die Rechte delegieren sollen:
1. Auf die betreffende OU einer Gruppe in der der betreffende Benutzer ("GPO-Ersteller") Mitglied ist Vollzugriff erteilt.
2. Die besagte Gruppe, in der der betreffende Benutzer ("GPO-Ersteller") Mitglied ist in die Gruppe Richtlinienersteller und Besitzer hinzugefügt.
Trotzdem erscheint in den RSAT Tools / MMC Snapin Gruppenrichtlinienverwaltung die Meldung Zugriff verweigert beim Erstellen einer neuen GPO per Rechtsklick auf den Ordner "Gruppenrichlinienobjekte" oder an der OU beim Erstellen neuer GPO inkl. Link.
Hat bitte jemand dazu noch Hinweise / Tipps?
Muss denn der Pfad im Dateisystem für die GPOs (..Domänenname\sysvol\Policys) separat berechtigt werden, denn Richtlinienersteller und Besitzer ist in der ACL kein Mitglied?
Oder vergibt das System hier intern (im Algorithmus) entsprechende Schreibberechtigung?
Was ist zu tun, wenn mehr als ein Admin diese erstellten GPOs bearbeiten soll? (müssen dann per im WWW verfügbaren Skripts die GPO angepasst werden was Berechtigungen/Besitzer angeht?)
Reicht es nicht aus beim Delegieren mit Gruppen zu arbeiten?
Danke
Gruß
Hi.
Kann es sein, dass Du einen Fehler machst und den Nutzer anmeldest und ihm nachträglich diese Delegation und Gruppenmitgliedschaft gibst? Weil diese würden dann erst nach erneuter Anmeldung gültig.
Hier funktioniert das (1. und 2. genügen) ohne Weiteres.
Kann es sein, dass Du einen Fehler machst und den Nutzer anmeldest und ihm nachträglich diese Delegation und Gruppenmitgliedschaft gibst? Weil diese würden dann erst nach erneuter Anmeldung gültig.
Hier funktioniert das (1. und 2. genügen) ohne Weiteres.
Ab und Anmelden hatte ich durchgeführt.
Die Ursache ist, dass auf den Ordner ...Policies (in SYSVOL) die Gruppe Richtlinien-Ersteller und Besitzer keine Berechtigung besitzt.
Dies korrigiert und nun funktioniert die Delegation der Erstellung von GPOs.
Die Ursache ist, dass auf den Ordner ...Policies (in SYSVOL) die Gruppe Richtlinien-Ersteller und Besitzer keine Berechtigung besitzt.
Dies korrigiert und nun funktioniert die Delegation der Erstellung von GPOs.
Diese Anpassung musst du nicht vornehmen bei einer neuen Domäne. Das hieße, die Defaultrechte waren zuvor verändert worden.
