Kuddel071089 9 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Hallo zusammen, ich bin gerade dabei, in unserer Testumgebung AGPM zu installieren. Da wird bei uns zwischen Client- und Serverteam untescheiden und beide Ableitung jeweils ihre eigenen GPOs verwalten, frage ich mich gerade, wie ich diese Struktur im AGPM abbilden kann. Aktuell können alle MAs aus beiden Abteilungen alle GPOs verwalten. Ziel soll sein, dass die Client-Kollegen nur Zugriff auf die Client-GPOs und die Server-Kollegen nur Zugriff auf die Server-GPOs haben. Ohne AGPM haben wir das ganze über Berechtigungsgruppen pro GPO per Delegierung gesteuert. Kann jemand helfen und hat eine Idee ? Vielen Dank schon einmal. Zitieren Link zu diesem Kommentar
cj_berlin 1.138 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Moin, IIRC brauchst Du zwei AGPM-Server. Es gibt nur die Rollen, die es gibt, und sie sind für jeden Server jeweils global. 1 Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 8. April 2022 Autor Melden Teilen Geschrieben 8. April 2022 @cj_berlin aber selbst mit einem zweiten AGPM Server wüsste ich jetzt nicht, wie ich da die Berechtigungen auf bestimmte GPOs eingrenzen könnte Zitieren Link zu diesem Kommentar
cj_berlin 1.138 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Du fügst die verwalteten GPOs doch explizit hinzu. Das wären dann unterschiedliche Sätze. Aber klar, grundsätzlich ist das Produkt für eure Anforderungen nicht gut geeignet. Wenn Geld da ist, würde ich Richtung Quest schielen... 1 Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 8. April 2022 Autor Melden Teilen Geschrieben 8. April 2022 @cj_berlin alles klar. Vielen Dank für deine Ausführungen. Dann schaue ich mal, ob evtl. ein zweiter Server eine Option ist. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 8. April 2022 Melden Teilen Geschrieben 8. April 2022 Bei "Richtung Quest schielen" könnte ich viele Erfahrungen beisteuern. Den Rest hat @cj_berlin schon erzählt - AGPM hat nen Service-Account (wenn ich das noch richtig weiß), und mit 2 AGM-Accounts könnt Ihr dann unterschiedliche Delegationen machen, die natürlich unterschiedliche Accounts verwenden. Wir haben uns damals genau deshalb dagegen entschieden und nutzen Quest. Wir brauchen zu viele Delegationen, das wären hunderte AGPM-Instanzen geworden. Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 9. April 2022 Melden Teilen Geschrieben 9. April 2022 Hi, ein weiterer Ansatz könnte in Richtung Just Enough Administration (JEA) gehen: Overview of Just Enough Administration (JEA) - PowerShell | Microsoft Docs Gruß Jan Zitieren Link zu diesem Kommentar
cj_berlin 1.138 Geschrieben 9. April 2022 Melden Teilen Geschrieben 9. April 2022 vor einer Stunde schrieb testperson: ein weiterer Ansatz könnte in Richtung Just Enough Administration (JEA) gehen: Overview of Just Enough Administration (JEA) - PowerShell | Microsoft Docs ...und GPOs komplett nur per PowerShell verwalten? Für das Maß an Change & Adoption-Beratung, das da nötig wäre, sind Quest-Lizenzen mehrfach drin 1 Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 11. April 2022 Melden Teilen Geschrieben 11. April 2022 Am 9.4.2022 um 21:00 schrieb cj_berlin: GPOs komplett nur per PowerShell verwalten Wenn Du das auf supporteten Wegen hinbekommst, müssen wir reden Die GPP-XML sind ja noch ok, aber bei allem anderem gibt es keine Dokumentation. Das Format von registry.pol hab ich per Skript zerlegt/zusammengebaut (zu finden bei faq-o-matic), gpttmpl.inf und Applocker ist auch kein Problem, aber der Rest von den Security-Settings - urgh... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.