30.06.2017 um 15:49:31 Uhr

3514

Zugriff auf Gruppenrichtlinien(-verwaltung) einschränken

Hallo zusammen,

ich möchte gerne das Thema GPO und deren Verwaltung (Erstellen, linken, löschen etc.) etwas einschränken innerhalb der Domäne.

Insgesamt haben wir sehr viele Domänen Administratoren und alle könnten auch an den GPOs basteln. Jetzt soll das Ganze auf einen Kreis von erfahrenen GPO Admins eingeschränkt werden.
Die "normalen" Domänen Admins sollen aber weiterhin im AD arbeiten (Benutzer, Clients etc.) können und auch die GPOs lesen können, also read only.

1. Geht das ohne weiteres?
2. Wenn Frage 1 mit ja beantwortet wird, wie? Habe schon in den Reitern "Delegation" geschaut, nur wenn ich da eine "Testgruppe" hinzufüge (innerhalb der Gruppenrichtlinienverwaltung), sehe ich das auch im Sicherheitsregister der AD. Jetzt habe ich etwas Angst, dass ich mir da die kompletten Zugriffe zerschießen kann?!?! Gibt es da eine brauchbare Anleitung?

Viele Grüße,
ofad

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 342137

Url: https://administrator.de/contentid/342137

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

8 Kommentare

Neuester Kommentar

Hi,

Insgesamt haben wir sehr viele Domänen Administratoren und alle könnten auch an den GPOs basteln. Jetzt soll das Ganze auf einen Kreis von erfahrenen GPO Admins eingeschränkt werden.

Erster Fehler! Den Kreis der Domänen-Admins einschränken!

Die "normalen" Domänen Admins sollen aber weiterhin im AD arbeiten (Benutzer, Clients etc.) können und auch die GPOs lesen können, also read only.

DAS kann man dann delegieren. Also einem Nicht-Domänen-Admin dafür explizit die erforderlichen Rechte im AD erteilen.

1. Geht das ohne weiteres?

Nicht, wenn alle Domänen-Admins bleiben.

E.

Danke für die Info.
Das mit dem einschränken wird schwer, ist so gewachsen und das grenzt an ein Projekt der Unmöglichkeit! Angesprochen habe ich es mehrfach, das war es dann aber schon was ich machen kann.

Wenn ich es richtig verstehe kann ich in der Delegation die Domänen Admins nicht einfach entfernen und nur eine Gruppe von "GPO Admins" hinzufügen, richtig?

Wenn ich es richtig verstehe kann ich in der Delegation die Domänen Admins nicht einfach entfernen und nur eine Gruppe von "GPO Admins" hinzufügen, richtig?

Wird dir nichts bringen, Domain-Admins sind standardmäßig in der Gruppe der lokalen Administratoren der DCs und können sich so die Rechte selbst wieder holen.

Also User raus aus der Domain-Admins Gruppe. Das die alle bei euch Domain-Admins sind ist Schwachfug. Normalerweise kreiert man für jede Art Administration separate Gruppen und delegiert diesen auch nur die Rechte die sie wirklich benötigen
Lease Privilege ist und bleibt das Stichwort!!

Gruß

Ja gut das stimmt, aber auch hier kann man sie ja entfernen, aber ich denke wenn man da zu viel entfernt, wird man am Ende wohl oder Übel eine Menge Schaden anrichten -_-

Natürlich kannst Du sie entfernen. Aber sie können sich dann auch wieder hinzufügen. Du müsstest schon arg an den Standardberechtigungen rumfummeln.

Das mit dem einschränken wird schwer, ist so gewachsen und das grenzt an ein Projekt der Unmöglichkeit!

Ach, das ging bei uns ganz einfach. Rollen-Konzept, jedem Admin sein Admin-Konto, den Rollen hinzufügen, Rollen berechtigen, DIE Administratoren sperren (strenges, geheimes Passwort) und gut ist. Natürlich zuerst mit Probanden testen, dann flächendeckend.

Angesprochen habe ich es mehrfach, das war es dann aber schon was ich machen kann.

Na dann ist doch gut. Was machst Du Dir Gedanken darüber? Wenn was futsch ist, dann habt Ihr wieder Arbeit. Und wenn die GF fragt, dann kramst Du Dein Konzept wieder raus und legst es erneut vor.

Zitat von @ITShark:

Ja gut das stimmt, aber auch hier kann man sie ja entfernen,

Dann wünsch ich dir viel Spass, den hast du dann "garantiert" ...
Das Pferd von hinten aufzäumen bringt dir mehr Ärger als die Stube mal gründlich zu fegen und es richtig zu machen.

Zitat von @133417:

Also User raus aus der Domain-Admins Gruppe. Das die alle bei euch Domain-Admins sind ist Schwachfug. Normalerweise kreiert man für jede Art Administration separate Gruppen und delegiert diesen auch nur die Rechte die sie wirklich benötigen
Lease Privilege ist und bleibt das Stichwort!!

Jo so kenn ich das auch, ist hier wohl alles etwas anders :|

Zitat von @emeriks:

Natürlich kannst Du sie entfernen. Aber sie können sich dann auch wieder hinzufügen. Du müsstest schon arg an den Standardberechtigungen rumfummeln.

Das mit dem einschränken wird schwer, ist so gewachsen und das grenzt an ein Projekt der Unmöglichkeit!

Auch, das ging bei uns ganz einfach. Rollen-Konzept, jedem Admin sein Admin-Konto, den Rollen hinzufügen, Rollen berechtigen, DIE Administratoren sperren (strenges, geheimes Passwort) und gut ist. Natürlich zuerst mit Probanden testen, dann flächendeckend.

Angesprochen habe ich es mehrfach, das war es dann aber schon was ich machen kann.

Na dann ist doch gut. Was machst Du Dir Gedanken darüber? Wenn was futsch ist, dann habt Ihr wieder Arbeit. Und wenn die GF fragt, dann kramst Du Dein Konzept wieder raus und legst es erneut vor.

Standardberechtigungen rumfummeln ... nein, da habe ich wirklich wenig Elan zu.
Rollen Konzept stimme ich dir zu, wird wohl wenn eine politische Entscheidung.
Das mit den "Gedanken machen" stimmt zwar, ich kann und will so nicht arbeiten, werde also nicht drum rumkommen, das wieder und wieder anzusprechen :D

gelöst Frage Microsoft Windows Server

Mehr von ITShark

Certification Authority in MS AD Sites and ServicesITShark - 1 Kommentar

SYSVOL Replizierung auf Read Only DCITShark - 1 Kommentar

Domain Controller Alias blocken bzw. sperrenITShark - 7 Kommentare

DNS Cleanup ???ITShark - 8 Kommentare

Heiß diskutiert