Gruppenrichtlinien - Berechtigungen vererben !?
Hallo.
Ich habe ein kleines Problem bzgl. den Berechtigungen bei den Gruppenrichtlinien.
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das würde ich gerne verhindern.
Aber hierfür müsste ich hierbei für jedes Gruppenrichtlinienobjekt die Berechtigung unter "Delegieren" setzen, was sehr mühsam ist und bei jeder neuen Gruppenrichtlinie immer mit beachtet werden muss.
Kann man es nicht irgendwie in einem Rutsch auf alle Grupenrichtlinienobjekte vererben lassen !?
Was habt ihr denn sonst noch für einen Vorschlag?
Gruss
Ich habe ein kleines Problem bzgl. den Berechtigungen bei den Gruppenrichtlinien.
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das würde ich gerne verhindern.
Aber hierfür müsste ich hierbei für jedes Gruppenrichtlinienobjekt die Berechtigung unter "Delegieren" setzen, was sehr mühsam ist und bei jeder neuen Gruppenrichtlinie immer mit beachtet werden muss.
Kann man es nicht irgendwie in einem Rutsch auf alle Grupenrichtlinienobjekte vererben lassen !?
Was habt ihr denn sonst noch für einen Vorschlag?
Gruss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1128243673
Url: https://administrator.de/forum/gruppenrichtlinien-berechtigungen-vererben-1128243673.html
Ausgedruckt am: 26.12.2024 um 22:12 Uhr
3 Kommentare
Neuester Kommentar
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das ist ja auch normal.Benutze spezielle Accounts mit genau delegierten Berechtigungen und keinen Domain Admin denn der ist ja sowieso überall berechtigt und kann die Berechtigungen wieder so hinbiegen wie er es braucht ...
https://techgenix.com/controlling-block-gpo-inheritance-via-delegation/
https://social.technet.microsoft.com/Forums/windowsserver/en-US/ea2c3a41 ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Hallo,
Grüße
lcer
Zitat von @Beny11:
Hallo.
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das würde ich gerne verhindern.
Warum? Genau dafür ist der Domänen-Administrator doch da? Worum geht es Dir denn?Hallo.
Normalerweise kann ich nur alle Gruppenrichtlinienobjekte bearbeiten, wenn ich mich auf dem DC mit meinem Domain-Admin Account anmelde.
Das würde ich gerne verhindern.
Grüße
lcer
Hi @Beny11,
dafür nimmt man aber eigentlich nciht den Domänen-Admin. Und dafür geht man auch nciht auf einen DC.
Du kannst folgendes machen: Installiere dir die RSAT-Tools auf deinem Admin-Client. Dann hast du die Konsolen und PowerShell-Cmdlets auch dort verfügbar. Jetzt legst du dir eine neue domänen-lokale Gruppe für die GPO-Administration an. Da packst du deinen normalen Admin, also nicht den Domänen-Admin-Account oder besser noch eine passende Rollengruppe rein.
Die Gruppe hinterlegst du jetzt einmal in der GPO-Konsole auf dem Container Group Policy Objects mit den passenden Rechten. Dann gilt sie schon mal für neue GPOs. Dann nimmst du dir PowerShell, iterierst durch alle bestehenden GPOs und setzt die Gruppe zusätzlich in die ACLs. Zum Schluss delegierst du der Gruppe noch die Link-Berechtigungen im AD, damit deren Mitglieder nicht nur GPOs erstellen und editieren, sondern auch verlinken dürfen. Fertig. Habe ich vor ca. zwei Jahren mal machen müssen und funktioniert wunderbar.
listet alle GPOs auf. Und ich meinte, dass ich damals einfach
und
verwenet habe.
Bedenke nur, dass du für Domänen-Controller eigene GPOs verwendest, auf die die neue Gruppe keine Rechte hat. Sonst kann ein normaler GPO-Admin DCs konfigurieren und sich dadurch selbst zum Domänen-Admin machen.
dafür nimmt man aber eigentlich nciht den Domänen-Admin. Und dafür geht man auch nciht auf einen DC.
Du kannst folgendes machen: Installiere dir die RSAT-Tools auf deinem Admin-Client. Dann hast du die Konsolen und PowerShell-Cmdlets auch dort verfügbar. Jetzt legst du dir eine neue domänen-lokale Gruppe für die GPO-Administration an. Da packst du deinen normalen Admin, also nicht den Domänen-Admin-Account oder besser noch eine passende Rollengruppe rein.
Die Gruppe hinterlegst du jetzt einmal in der GPO-Konsole auf dem Container Group Policy Objects mit den passenden Rechten. Dann gilt sie schon mal für neue GPOs. Dann nimmst du dir PowerShell, iterierst durch alle bestehenden GPOs und setzt die Gruppe zusätzlich in die ACLs. Zum Schluss delegierst du der Gruppe noch die Link-Berechtigungen im AD, damit deren Mitglieder nicht nur GPOs erstellen und editieren, sondern auch verlinken dürfen. Fertig. Habe ich vor ca. zwei Jahren mal machen müssen und funktioniert wunderbar.
Get-GPO -All
listet alle GPOs auf. Und ich meinte, dass ich damals einfach
Get-Acl
und
Set-Acl
verwenet habe.
Bedenke nur, dass du für Domänen-Controller eigene GPOs verwendest, auf die die neue Gruppe keine Rechte hat. Sonst kann ein normaler GPO-Admin DCs konfigurieren und sich dadurch selbst zum Domänen-Admin machen.