Kuddel071089 9 Geschrieben 8. April 2022 Melden Geschrieben 8. April 2022 Hallo zusammen, ich bin gerade dabei, in unserer Testumgebung AGPM zu installieren. Da wird bei uns zwischen Client- und Serverteam untescheiden und beide Ableitung jeweils ihre eigenen GPOs verwalten, frage ich mich gerade, wie ich diese Struktur im AGPM abbilden kann. Aktuell können alle MAs aus beiden Abteilungen alle GPOs verwalten. Ziel soll sein, dass die Client-Kollegen nur Zugriff auf die Client-GPOs und die Server-Kollegen nur Zugriff auf die Server-GPOs haben. Ohne AGPM haben wir das ganze über Berechtigungsgruppen pro GPO per Delegierung gesteuert. Kann jemand helfen und hat eine Idee ? Vielen Dank schon einmal.
cj_berlin 1.508 Geschrieben 8. April 2022 Melden Geschrieben 8. April 2022 Moin, IIRC brauchst Du zwei AGPM-Server. Es gibt nur die Rollen, die es gibt, und sie sind für jeden Server jeweils global. 1
Kuddel071089 9 Geschrieben 8. April 2022 Autor Melden Geschrieben 8. April 2022 @cj_berlin aber selbst mit einem zweiten AGPM Server wüsste ich jetzt nicht, wie ich da die Berechtigungen auf bestimmte GPOs eingrenzen könnte
cj_berlin 1.508 Geschrieben 8. April 2022 Melden Geschrieben 8. April 2022 Du fügst die verwalteten GPOs doch explizit hinzu. Das wären dann unterschiedliche Sätze. Aber klar, grundsätzlich ist das Produkt für eure Anforderungen nicht gut geeignet. Wenn Geld da ist, würde ich Richtung Quest schielen... 1
Kuddel071089 9 Geschrieben 8. April 2022 Autor Melden Geschrieben 8. April 2022 @cj_berlin alles klar. Vielen Dank für deine Ausführungen. Dann schaue ich mal, ob evtl. ein zweiter Server eine Option ist.
daabm 1.431 Geschrieben 8. April 2022 Melden Geschrieben 8. April 2022 Bei "Richtung Quest schielen" könnte ich viele Erfahrungen beisteuern. Den Rest hat @cj_berlin schon erzählt - AGPM hat nen Service-Account (wenn ich das noch richtig weiß), und mit 2 AGM-Accounts könnt Ihr dann unterschiedliche Delegationen machen, die natürlich unterschiedliche Accounts verwenden. Wir haben uns damals genau deshalb dagegen entschieden und nutzen Quest. Wir brauchen zu viele Delegationen, das wären hunderte AGPM-Instanzen geworden.
testperson 1.860 Geschrieben 9. April 2022 Melden Geschrieben 9. April 2022 Hi, ein weiterer Ansatz könnte in Richtung Just Enough Administration (JEA) gehen: Overview of Just Enough Administration (JEA) - PowerShell | Microsoft Docs Gruß Jan
cj_berlin 1.508 Geschrieben 9. April 2022 Melden Geschrieben 9. April 2022 vor einer Stunde schrieb testperson: ein weiterer Ansatz könnte in Richtung Just Enough Administration (JEA) gehen: Overview of Just Enough Administration (JEA) - PowerShell | Microsoft Docs ...und GPOs komplett nur per PowerShell verwalten? Für das Maß an Change & Adoption-Beratung, das da nötig wäre, sind Quest-Lizenzen mehrfach drin 1
daabm 1.431 Geschrieben 11. April 2022 Melden Geschrieben 11. April 2022 Am 9.4.2022 um 21:00 schrieb cj_berlin: GPOs komplett nur per PowerShell verwalten Wenn Du das auf supporteten Wegen hinbekommst, müssen wir reden Die GPP-XML sind ja noch ok, aber bei allem anderem gibt es keine Dokumentation. Das Format von registry.pol hab ich per Skript zerlegt/zusammengebaut (zu finden bei faq-o-matic), gpttmpl.inf und Applocker ist auch kein Problem, aber der Rest von den Security-Settings - urgh...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden