GPO Deligierung per Powershell

[screamager 2]

Hallo zusammen,

 

kennt  jemand von Euch eine Möglichkeit per Powershell die Deligierung von GPO's anzupassen?

 

Folgendes Szenario:

Eine bestehende GPO wird per Powershell importiert und korrekt verknüpft (New-GPO -> Import-GPO -> New-GPLink). Für eine bestimmte AD-Gruppe soll jetzt die Berechtigung "GPO übernehmen" auf "Verweigern" gesetzt werden.

 

Ist dies überhaupt möglich? Habe leider bisher hierzu nichts gefunden.

 

Vielen Dank für Eure Hilfe,

 

Rüdiger

[NilsK 3.046]

Moin,

 

da es sich um Berechtigungseinträge handelt, wirst du das über die Manipulation der ACL regeln müssen. Dafür gibt es kein GPO-Cmdlet. Man bekommt das per PowerShell hin, aber Berechtigungen sind damit immer sehr aufwändig und fehlerträchtig.

 

Gruß, Nils

 

[screamager 2]

Hi zusammen,

 

scheint so als ob ich eine Lösung gefunden habe:

 

$gpo = Get-GPO -Name GPOName
$adgpo = [ADSI]"LDAP://CN=`{$($gpo.Id.guid)`},CN=Policies,CN=System,DC=domain,DC=local"

$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
		[System.Security.Principal.NTAccount]"domain\Domänen-Admins",
		"ExtendedRight",
		"Deny",
		[Guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939"
	)

$acl = $adgpo.ObjectSecurity
$acl.AddAccessRule($rule)
$adgpo.CommitChanges()

Hab's getestet, geht

 

Hier gefunden:

Technet Link

 

und für die Security Permissions: https://technet.microsoft.com/en-us/library/ff405676.aspx

 

Viele Grüße, Rüdiger

[NilsK 3.046]

Moin,

 

prima, danke für die Rückmeldung.

 

Gruß, Nils