itshark
Goto Top

Zugriff auf Gruppenrichtlinien(-verwaltung) einschränken

Hallo zusammen,

ich möchte gerne das Thema GPO und deren Verwaltung (Erstellen, linken, löschen etc.) etwas einschränken innerhalb der Domäne.

Insgesamt haben wir sehr viele Domänen Administratoren und alle könnten auch an den GPOs basteln. Jetzt soll das Ganze auf einen Kreis von erfahrenen GPO Admins eingeschränkt werden.
Die "normalen" Domänen Admins sollen aber weiterhin im AD arbeiten (Benutzer, Clients etc.) können und auch die GPOs lesen können, also read only.

1. Geht das ohne weiteres?
2. Wenn Frage 1 mit ja beantwortet wird, wie? Habe schon in den Reitern "Delegation" geschaut, nur wenn ich da eine "Testgruppe" hinzufüge (innerhalb der Gruppenrichtlinienverwaltung), sehe ich das auch im Sicherheitsregister der AD. Jetzt habe ich etwas Angst, dass ich mir da die kompletten Zugriffe zerschießen kann?!?! Gibt es da eine brauchbare Anleitung?

Viele Grüße,
ofad

Content-Key: 342137

Url: https://administrator.de/contentid/342137

Printed on: May 18, 2024 at 07:05 o'clock

Member: emeriks
emeriks Jun 30, 2017 updated at 13:56:31 (UTC)
Goto Top
Hi,
Insgesamt haben wir sehr viele Domänen Administratoren und alle könnten auch an den GPOs basteln. Jetzt soll das Ganze auf einen Kreis von erfahrenen GPO Admins eingeschränkt werden.
Erster Fehler! Den Kreis der Domänen-Admins einschränken!

Die "normalen" Domänen Admins sollen aber weiterhin im AD arbeiten (Benutzer, Clients etc.) können und auch die GPOs lesen können, also read only.
DAS kann man dann delegieren. Also einem Nicht-Domänen-Admin dafür explizit die erforderlichen Rechte im AD erteilen.

1. Geht das ohne weiteres?
Nicht, wenn alle Domänen-Admins bleiben.

E.
Member: ITShark
ITShark Jun 30, 2017 at 14:02:11 (UTC)
Goto Top
Danke für die Info.
Das mit dem einschränken wird schwer, ist so gewachsen und das grenzt an ein Projekt der Unmöglichkeit! Angesprochen habe ich es mehrfach, das war es dann aber schon was ich machen kann.

Wenn ich es richtig verstehe kann ich in der Delegation die Domänen Admins nicht einfach entfernen und nur eine Gruppe von "GPO Admins" hinzufügen, richtig?
Mitglied: 133417
133417 Jun 30, 2017 updated at 14:15:53 (UTC)
Goto Top
Wenn ich es richtig verstehe kann ich in der Delegation die Domänen Admins nicht einfach entfernen und nur eine Gruppe von "GPO Admins" hinzufügen, richtig?
Wird dir nichts bringen, Domain-Admins sind standardmäßig in der Gruppe der lokalen Administratoren der DCs und können sich so die Rechte selbst wieder holen.

Also User raus aus der Domain-Admins Gruppe. Das die alle bei euch Domain-Admins sind ist Schwachfug. Normalerweise kreiert man für jede Art Administration separate Gruppen und delegiert diesen auch nur die Rechte die sie wirklich benötigen
Lease Privilege ist und bleibt das Stichwort!!

Gruß
Member: ITShark
ITShark Jun 30, 2017 at 14:08:18 (UTC)
Goto Top
Ja gut das stimmt, aber auch hier kann man sie ja entfernen, aber ich denke wenn man da zu viel entfernt, wird man am Ende wohl oder Übel eine Menge Schaden anrichten -_-
Member: emeriks
emeriks Jun 30, 2017 updated at 14:46:54 (UTC)
Goto Top
Natürlich kannst Du sie entfernen. Aber sie können sich dann auch wieder hinzufügen. Du müsstest schon arg an den Standardberechtigungen rumfummeln.
Das mit dem einschränken wird schwer, ist so gewachsen und das grenzt an ein Projekt der Unmöglichkeit!
Ach, das ging bei uns ganz einfach. Rollen-Konzept, jedem Admin sein Admin-Konto, den Rollen hinzufügen, Rollen berechtigen, DIE Administratoren sperren (strenges, geheimes Passwort) und gut ist. Natürlich zuerst mit Probanden testen, dann flächendeckend.
Angesprochen habe ich es mehrfach, das war es dann aber schon was ich machen kann.
Na dann ist doch gut. Was machst Du Dir Gedanken darüber? Wenn was futsch ist, dann habt Ihr wieder Arbeit. Und wenn die GF fragt, dann kramst Du Dein Konzept wieder raus und legst es erneut vor.
Mitglied: 133417
133417 Jun 30, 2017 updated at 14:12:13 (UTC)
Goto Top
Zitat von @ITShark:

Ja gut das stimmt, aber auch hier kann man sie ja entfernen,
Dann wünsch ich dir viel Spass, den hast du dann "garantiert" ...
Das Pferd von hinten aufzäumen bringt dir mehr Ärger als die Stube mal gründlich zu fegen und es richtig zu machen.
Member: ITShark
ITShark Jun 30, 2017 at 14:16:33 (UTC)
Goto Top
Zitat von @133417:

Also User raus aus der Domain-Admins Gruppe. Das die alle bei euch Domain-Admins sind ist Schwachfug. Normalerweise kreiert man für jede Art Administration separate Gruppen und delegiert diesen auch nur die Rechte die sie wirklich benötigen
Lease Privilege ist und bleibt das Stichwort!!

Jo so kenn ich das auch, ist hier wohl alles etwas anders :|
Member: ITShark
ITShark Jun 30, 2017 at 14:18:16 (UTC)
Goto Top
Zitat von @emeriks:

Natürlich kannst Du sie entfernen. Aber sie können sich dann auch wieder hinzufügen. Du müsstest schon arg an den Standardberechtigungen rumfummeln.
Das mit dem einschränken wird schwer, ist so gewachsen und das grenzt an ein Projekt der Unmöglichkeit!
Auch, das ging bei uns ganz einfach. Rollen-Konzept, jedem Admin sein Admin-Konto, den Rollen hinzufügen, Rollen berechtigen, DIE Administratoren sperren (strenges, geheimes Passwort) und gut ist. Natürlich zuerst mit Probanden testen, dann flächendeckend.
Angesprochen habe ich es mehrfach, das war es dann aber schon was ich machen kann.
Na dann ist doch gut. Was machst Du Dir Gedanken darüber? Wenn was futsch ist, dann habt Ihr wieder Arbeit. Und wenn die GF fragt, dann kramst Du Dein Konzept wieder raus und legst es erneut vor.

Standardberechtigungen rumfummeln ... nein, da habe ich wirklich wenig Elan zu.
Rollen Konzept stimme ich dir zu, wird wohl wenn eine politische Entscheidung.
Das mit den "Gedanken machen" stimmt zwar, ich kann und will so nicht arbeiten, werde also nicht drum rumkommen, das wieder und wieder anzusprechen :D