beny11
Goto Top

Gruppenrichtlinien - Berechtigungen vererben !?

Hallo.

Ich habe ein kleines Problem bzgl. den Berechtigungen bei den Gruppenrichtlinien.
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das würde ich gerne verhindern.

Aber hierfür müsste ich hierbei für jedes Gruppenrichtlinienobjekt die Berechtigung unter "Delegieren" setzen, was sehr mühsam ist und bei jeder neuen Gruppenrichtlinie immer mit beachtet werden muss.
Kann man es nicht irgendwie in einem Rutsch auf alle Grupenrichtlinienobjekte vererben lassen !?

Was habt ihr denn sonst noch für einen Vorschlag?

Gruss

Content-ID: 1128243673

Url: https://administrator.de/forum/gruppenrichtlinien-berechtigungen-vererben-1128243673.html

Ausgedruckt am: 26.12.2024 um 22:12 Uhr

149062
149062 06.08.2021 aktualisiert um 07:39:33 Uhr
Goto Top
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das ist ja auch normal.
Benutze spezielle Accounts mit genau delegierten Berechtigungen und keinen Domain Admin denn der ist ja sowieso überall berechtigt und kann die Berechtigungen wieder so hinbiegen wie er es braucht ...
https://techgenix.com/controlling-block-gpo-inheritance-via-delegation/

https://social.technet.microsoft.com/Forums/windowsserver/en-US/ea2c3a41 ...

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
lcer00
lcer00 06.08.2021 aktualisiert um 07:32:53 Uhr
Goto Top
Hallo,
Zitat von @Beny11:

Hallo.

Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das würde ich gerne verhindern.
Warum? Genau dafür ist der Domänen-Administrator doch da? Worum geht es Dir denn?

Grüße

lcer
Festus94
Festus94 06.08.2021 um 08:28:17 Uhr
Goto Top
Hi @Beny11,

dafür nimmt man aber eigentlich nciht den Domänen-Admin. Und dafür geht man auch nciht auf einen DC. face-wink

Du kannst folgendes machen: Installiere dir die RSAT-Tools auf deinem Admin-Client. Dann hast du die Konsolen und PowerShell-Cmdlets auch dort verfügbar. Jetzt legst du dir eine neue domänen-lokale Gruppe für die GPO-Administration an. Da packst du deinen normalen Admin, also nicht den Domänen-Admin-Account oder besser noch eine passende Rollengruppe rein.

Die Gruppe hinterlegst du jetzt einmal in der GPO-Konsole auf dem Container Group Policy Objects mit den passenden Rechten. Dann gilt sie schon mal für neue GPOs. Dann nimmst du dir PowerShell, iterierst durch alle bestehenden GPOs und setzt die Gruppe zusätzlich in die ACLs. Zum Schluss delegierst du der Gruppe noch die Link-Berechtigungen im AD, damit deren Mitglieder nicht nur GPOs erstellen und editieren, sondern auch verlinken dürfen. Fertig. face-smile Habe ich vor ca. zwei Jahren mal machen müssen und funktioniert wunderbar.

Get-GPO -All

listet alle GPOs auf. Und ich meinte, dass ich damals einfach

Get-Acl

und

Set-Acl

verwenet habe.

Bedenke nur, dass du für Domänen-Controller eigene GPOs verwendest, auf die die neue Gruppe keine Rechte hat. Sonst kann ein normaler GPO-Admin DCs konfigurieren und sich dadurch selbst zum Domänen-Admin machen.