Jump to content

GPO Admin Delegierung


Direkt zur Lösung Gelöst von MurdocX,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich muss leider noch einen Beitrag aufmachen - die Umstrukturierung der Admin Accounts zieht ganz schöne Kreise :)

 

Ich möchte eine GPO Admin Delegierung durchführen. Dazu hab ich 2 Beiträge gefunden

Vom Mark

Von 4Sysops

 

Die beiden Beiträge unterscheiden sich aber etwas:

Marks Variante ändert das AD Schema ab, damit bei allen GPOs die neue Sicherheitsgruppe mit den Berechtigungen korrekt übernommen werden.

 

Die Variante von 4Sysops fügt erstmal in AD Benutzer und Computer die Sicherheitsgruppe hinzu, danach wird per powershell befehl für jede GPO die Berechtigung angepasst. Das ganze wird dann per Scheduled Task immer wieder durchgeführt, um neue GPOs auch mit der Berechtigung zu versehen.

 

Ich habe immer noch das (vielleicht veraltete Info) das Schema Änderungen vermieden werden sollten. Wäre somit die 4Sysops Variante die bessere oder ist die Mark Variante problemlos durchführbar? 

 

Danke euch schon mal.

Gruß

 

Link zu diesem Kommentar
  • Beste Lösung

Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. 

 

Vorteil Variante 1:

- Es wäre einmal definiert und für alle gleich nutzbar.

Nachteil Variante 1:

- Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach.

 

Vorteil Variante 2:

- Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler

Nachteil Variante 2:

- Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden

 

Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben.

Link zu diesem Kommentar

Panische Angst nicht, aber schon etwas Respekt davor :D

 

Es gibt aber leider ein Problem beim ändern des Werts defaultSecurityDescriptor. Ich habe auf einem DC den ADSI-Editor geöffnet, mich mit dem Schema verbunden und bin zum CN-Group-Policy-Container navigiert.

Ich erhalte folgende Fehlermeldung beim Übernehmen der Änderung.

 

image.png.1cd16b7f3d7441b0a40c4a36654b3b18.png

 

Unser Default Wert lautet: 

D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)

 

Marks Wert ist identisch (nur die Sortierung ist anders).

Diesem Wert habe ich dann (A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) angehängt.

 

Also so:

D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>)

 

Hab ich irgendwas übersehen?

Link zu diesem Kommentar

Hm..nicht das ich wüsste. DCDiag zeigt auch keinerlei Fehler an.

 

Ich habe beim verbinden mit dem ADSI-Editor direkt einen DC ausgewählt (Pfad:LDAP://DC1.kts.schlaeger.com/Schema

Ist das vielleicht ein Problem - muss ich beim Verbinden unter "Computer" nicht "Standard (Domäne oder Server, an der/dem Sie angemeldet sind)" auswählen, sondern "Domäne oder Server auswählen oder eingeben:" und dort dann den Domänennamen angeben?

Link zu diesem Kommentar
vor 11 Minuten schrieb daabm:

Wer ist Schema-Master?

(netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"?

Schema-Master ist unserer 2. DC (mit dem war ich nicht verbunden). Muss ich mit dem Schema Master verbunden sein?

repadmin /showreps zeigt aktuelle Daten und alles erfolgreich an. Ausgeführt auf dem 1. DC (von dem ich ADSI-Edit ausgeführt hatte).

bearbeitet von phatair
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...