Per GPO mehrere Objekte als Lokale Administratoren

[Pharao2k 10]

Hiho,

Der Service-Account für Client-Push-Installationen des System Center ConfigMgr 2007 R2 muss laut TechNet auf jedem Client und Server Mitglied der lokalen Admin-Gruppe sein. Soweit sogut, dies wäre ja über Eingeschränkte Gruppen realisierbar.

 

Da diese GPO aber die vorhandenen Einträge löscht würde dies jedoch vorhandene Konfigurationen verkomplizieren. Auf verschiedenen Servern sind die Service-Benutzer von System Center OpsMgr und VMM bereits Teil besagter Gruppe. Würde ich eben diese Service-Benutzer mit in die Liste der GPO für Eingeschränkte Gruppen eintragen, wären diese aber auf ALLEN Servern und Clients Teil dieser Gruppe, also dies was beim ConfigMgr erwünscht ist ist hier bei weitem nicht erwünscht.

 

Desweiteren ist das Computer-Objekt des ConfigMgr-Servers Teil der lokalen Admin-Gruppe des Datenbankservers (wurde so vom ConfigMgr-Setup konfiguriert), diesen kann ich, soweit ich weiß, nicht bei den Eingeschränkten Gruppen hinzufügen (wird nicht angeboten), was natürlich problematisch ist.

 

Eine Möglichkeit wäre natürlich, die GPO nur auf die Clients zu begrenzen und in den Servern manuell den ConfigMgr hinzuzufügen, was jedoch Risiken birgt wenn bspw. in ein paar Monaten ein neuer Server aufgesetzt wird und dies dort vergessen wird.

 

Wie würdet Ihr mit dieser Situation umgehen? Übersehe ich etwas?

 

Mfg Nicolas

[NorbertFe 2.110]

Da diese GPO aber die vorhandenen Einträge löscht

 

 

Tut sie nicht, wenn man weiß wie man sie konfigurieren muß.

Eingeschränkte Gruppen

Lies dir mal alle 3 Beispiele durch.

 

Bye

Norbert

[Pharao2k 10]

Ups, hab ich die Seite wohl etwas zu schnell überflogen ^^ Vielen Dank, nun funktioniert es wunderbar.