Jump to content

Empfohlene Beiträge

Hallo zusammen,

 

ich muss leider noch einen Beitrag aufmachen - die Umstrukturierung der Admin Accounts zieht ganz schöne Kreise :)

 

Ich möchte eine GPO Admin Delegierung durchführen. Dazu hab ich 2 Beiträge gefunden

Vom Mark

Von 4Sysops

 

Die beiden Beiträge unterscheiden sich aber etwas:

Marks Variante ändert das AD Schema ab, damit bei allen GPOs die neue Sicherheitsgruppe mit den Berechtigungen korrekt übernommen werden.

 

Die Variante von 4Sysops fügt erstmal in AD Benutzer und Computer die Sicherheitsgruppe hinzu, danach wird per powershell befehl für jede GPO die Berechtigung angepasst. Das ganze wird dann per Scheduled Task immer wieder durchgeführt, um neue GPOs auch mit der Berechtigung zu versehen.

 

Ich habe immer noch das (vielleicht veraltete Info) das Schema Änderungen vermieden werden sollten. Wäre somit die 4Sysops Variante die bessere oder ist die Mark Variante problemlos durchführbar? 

 

Danke euch schon mal.

Gruß

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. 

 

Vorteil Variante 1:

- Es wäre einmal definiert und für alle gleich nutzbar.

Nachteil Variante 1:

- Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach.

 

Vorteil Variante 2:

- Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler

Nachteil Variante 2:

- Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden

 

Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben.

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke Dir.

Erhöhen solche Änderungen im Schema nicht auch die Fehleranfälligkeit z.B. bei einem DC Update und dem damit verbundenen Schema Update?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Variante 1 kannte ich nicht.

 

Wir haben die Variante 2 gemacht (Neue Rollengruope), allerdings fehlen noch ein paar alte GPOs bzw. das Skript. Würde adhoc V2 nehmen, aus Unerfahrenheit bezüglich V1.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Warum haben die Leute immer so panische Angst davor, was im Schema zu ändern? Den Default-SD kann man ja bei Bedarf sogar wieder zurückändern - und ja, wir haben das auch immer so gelöst: Erst Default-SD für die jeweilige Objektklasse angepaßt, dann per Skript alle bereits bestehenden Objekte dieser Klasse aktualisiert.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Panische Angst nicht, aber schon etwas Respekt davor :D

 

Es gibt aber leider ein Problem beim ändern des Werts defaultSecurityDescriptor. Ich habe auf einem DC den ADSI-Editor geöffnet, mich mit dem Schema verbunden und bin zum CN-Group-Policy-Container navigiert.

Ich erhalte folgende Fehlermeldung beim Übernehmen der Änderung.

 

image.png.1cd16b7f3d7441b0a40c4a36654b3b18.png

 

Unser Default Wert lautet: 

D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)

 

Marks Wert ist identisch (nur die Sortierung ist anders).

Diesem Wert habe ich dann (A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) angehängt.

 

Also so:

D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>)

 

Hab ich irgendwas übersehen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hm..nicht das ich wüsste. DCDiag zeigt auch keinerlei Fehler an.

 

Ich habe beim verbinden mit dem ADSI-Editor direkt einen DC ausgewählt (Pfad:LDAP://DC1.kts.schlaeger.com/Schema

Ist das vielleicht ein Problem - muss ich beim Verbinden unter "Computer" nicht "Standard (Domäne oder Server, an der/dem Sie angemeldet sind)" auswählen, sondern "Domäne oder Server auswählen oder eingeben:" und dort dann den Domänennamen angeben?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hm - "referral" heißt, daß der LDAP-Server, mit dem Du grad verbunden bist, die Funktion nicht ausführen kann, weil ihm was fehlt. Wer ist Schema-Master?

(netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 11 Minuten schrieb daabm:

Wer ist Schema-Master?

(netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"?

Schema-Master ist unserer 2. DC (mit dem war ich nicht verbunden). Muss ich mit dem Schema Master verbunden sein?

repadmin /showreps zeigt aktuelle Daten und alles erfolgreich an. Ausgeführt auf dem 1. DC (von dem ich ADSI-Edit ausgeführt hatte).

bearbeitet von phatair

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hat jetzt alles wunderbar funktioniert, nach dem ich mich mit dem Schema Master verbunden hatte - danke Martin.

Habe jetzt alles umgesetzt und Berechtigungen werden für neue GPOs korrekt gesetzt. Die AD Gruppe darf auch GPOs bearbeiten und verlinken.

 

Vielen Dank an euch und vor allem Mark für die super Anleitung!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×