Jump to content

Recommended Posts

Hallo zusammen,

 

ich muss leider noch einen Beitrag aufmachen - die Umstrukturierung der Admin Accounts zieht ganz schöne Kreise :)

 

Ich möchte eine GPO Admin Delegierung durchführen. Dazu hab ich 2 Beiträge gefunden

Vom Mark

Von 4Sysops

 

Die beiden Beiträge unterscheiden sich aber etwas:

Marks Variante ändert das AD Schema ab, damit bei allen GPOs die neue Sicherheitsgruppe mit den Berechtigungen korrekt übernommen werden.

 

Die Variante von 4Sysops fügt erstmal in AD Benutzer und Computer die Sicherheitsgruppe hinzu, danach wird per powershell befehl für jede GPO die Berechtigung angepasst. Das ganze wird dann per Scheduled Task immer wieder durchgeführt, um neue GPOs auch mit der Berechtigung zu versehen.

 

Ich habe immer noch das (vielleicht veraltete Info) das Schema Änderungen vermieden werden sollten. Wäre somit die 4Sysops Variante die bessere oder ist die Mark Variante problemlos durchführbar? 

 

Danke euch schon mal.

Gruß

 

Share this post


Link to post
Share on other sites

Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. 

 

Vorteil Variante 1:

- Es wäre einmal definiert und für alle gleich nutzbar.

Nachteil Variante 1:

- Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach.

 

Vorteil Variante 2:

- Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler

Nachteil Variante 2:

- Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden

 

Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben.

  • Thanks 1

Share this post


Link to post
Share on other sites

Danke Dir.

Erhöhen solche Änderungen im Schema nicht auch die Fehleranfälligkeit z.B. bei einem DC Update und dem damit verbundenen Schema Update?

Share this post


Link to post
Share on other sites

Variante 1 kannte ich nicht.

 

Wir haben die Variante 2 gemacht (Neue Rollengruope), allerdings fehlen noch ein paar alte GPOs bzw. das Skript. Würde adhoc V2 nehmen, aus Unerfahrenheit bezüglich V1.

Share this post


Link to post
Share on other sites

Warum haben die Leute immer so panische Angst davor, was im Schema zu ändern? Den Default-SD kann man ja bei Bedarf sogar wieder zurückändern - und ja, wir haben das auch immer so gelöst: Erst Default-SD für die jeweilige Objektklasse angepaßt, dann per Skript alle bereits bestehenden Objekte dieser Klasse aktualisiert.

Share this post


Link to post
Share on other sites

Panische Angst nicht, aber schon etwas Respekt davor :D

 

Es gibt aber leider ein Problem beim ändern des Werts defaultSecurityDescriptor. Ich habe auf einem DC den ADSI-Editor geöffnet, mich mit dem Schema verbunden und bin zum CN-Group-Policy-Container navigiert.

Ich erhalte folgende Fehlermeldung beim Übernehmen der Änderung.

 

image.png.1cd16b7f3d7441b0a40c4a36654b3b18.png

 

Unser Default Wert lautet: 

D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)

 

Marks Wert ist identisch (nur die Sortierung ist anders).

Diesem Wert habe ich dann (A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) angehängt.

 

Also so:

D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>)

 

Hab ich irgendwas übersehen?

Share this post


Link to post
Share on other sites

Hast Du verwaiste DCs in deiner Domäne? Für so was müssen alle DCs online und erreichbar sein...

Share this post


Link to post
Share on other sites

Hm..nicht das ich wüsste. DCDiag zeigt auch keinerlei Fehler an.

 

Ich habe beim verbinden mit dem ADSI-Editor direkt einen DC ausgewählt (Pfad:LDAP://DC1.kts.schlaeger.com/Schema

Ist das vielleicht ein Problem - muss ich beim Verbinden unter "Computer" nicht "Standard (Domäne oder Server, an der/dem Sie angemeldet sind)" auswählen, sondern "Domäne oder Server auswählen oder eingeben:" und dort dann den Domänennamen angeben?

Share this post


Link to post
Share on other sites

Hm - "referral" heißt, daß der LDAP-Server, mit dem Du grad verbunden bist, die Funktion nicht ausführen kann, weil ihm was fehlt. Wer ist Schema-Master?

(netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"?

Share this post


Link to post
Share on other sites
vor 11 Minuten schrieb daabm:

Wer ist Schema-Master?

(netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"?

Schema-Master ist unserer 2. DC (mit dem war ich nicht verbunden). Muss ich mit dem Schema Master verbunden sein?

repadmin /showreps zeigt aktuelle Daten und alles erfolgreich an. Ausgeführt auf dem 1. DC (von dem ich ADSI-Edit ausgeführt hatte).

Edited by phatair

Share this post


Link to post
Share on other sites

Hat jetzt alles wunderbar funktioniert, nach dem ich mich mit dem Schema Master verbunden hatte - danke Martin.

Habe jetzt alles umgesetzt und Berechtigungen werden für neue GPOs korrekt gesetzt. Die AD Gruppe darf auch GPOs bearbeiten und verlinken.

 

Vielen Dank an euch und vor allem Mark für die super Anleitung!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...