karlh 10 Geschrieben 29. März 2012 Melden Teilen Geschrieben 29. März 2012 Hallo, ich möchte die Verwaltung / Erstellung von GPOs delegieren. Ich würde nun eine Gruppe GPO-Operators anlegen und auf alle vorhandenen GPO berechtigen, da mir bisher keine Möglichkeit der Vererbung dafür bekannt ist. Ich habe dann aber immer noch das Problem, dass die GPO-Operators keine neuen GPOs anlegen können, das funktioniert momentan nur mit Domain Adminrechten, die ich definitiv nicht geben kann. Wie geht das? Gruß Karl Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 29. März 2012 Melden Teilen Geschrieben 29. März 2012 Hallo! Ich habe dann aber immer noch das Problem, dass die GPO-Operators keine neuen GPOs anlegen können, das funktioniert momentan nur mit Domain Adminrechten, die ich definitiv nicht geben kann. Meines Wissens nach ist das auch normal. Du kannst aber ein Reihe von Templates anlegen und darauf die entsprechenden Permissions setzen. Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. März 2012 Melden Teilen Geschrieben 29. März 2012 Meines Wissens nach ist das auch normal. Was ist normal? :) Du kannst aber ein Reihe von Templates anlegen und darauf die entsprechenden Permissions setzen. Nein, denn das würde afair auf das Gleiche hinauslaufen. Beim "GPO Delegieren" muß berücksichtigt werden, dass man mehrere Komponenten die nur logisch eine EInheit bilden berechtigen muß. 1. AD Berechtigungen (darf GPO verlinken, aktivieren usw.) 2. Sysvol Berechtigungen (also NTFS) müssen so stimmen, dass die GPO Operatoren im Sysvol entsprechende Daten erstellen dürfen. Und genau da wirds dann immer hakelig, da man auch schnell mal was falsch macht. :) Ich habs selbst nicht gebraucht, aber eventuell hilft ja: Delegate creation of Group Policy objects using GPMC: Group Policy Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. März 2012 Melden Teilen Geschrieben 29. März 2012 Hi, die GPMC setzt die Rechte für vorhandene Gruppenrichtlinien korrekt für beide GPO Komponenten, siehe den Link von Norbert. Wenn Du die Standard ACLs nach Erstellung von neuen GPOs delegieren möchtest, mußt Du das Schema anpassen bzw. den default Security Descriptor des groupPolicy Schema Objektes. Siehe dazu: How to change the default permissions on GPOs in Windows 2000 and Windows Server 2003 Ansonsten schau Dir einmal die Gruppe "Group Policy Creator Owners" an. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 30. März 2012 Melden Teilen Geschrieben 30. März 2012 Hallo! Was ist normal? :) Tja, wer weiß das schon? :wink2: Nein, denn das würde afair auf das Gleiche hinauslaufen. Beim "GPO Delegieren" muß berücksichtigt werden, dass man mehrere Komponenten die nur logisch eine EInheit bilden berechtigen muß. 1. AD Berechtigungen (darf GPO verlinken, aktivieren usw.) 2. Sysvol Berechtigungen (also NTFS) müssen so stimmen, dass die GPO Operatoren im Sysvol entsprechende Daten erstellen dürfen. Und genau da wirds dann immer hakelig, da man auch schnell mal was falsch macht. :) Ich ging davon aus, das beim Einrichten einer Delegation in der GPMC der Delegierte das Recht erhält, die GPO entsprechend zu verknüpfen und damit einhergehend auf Zugriff auf Sysvol erhält. Aber ich gebe zu, ich habe bisher die Erstelung von GPO`s immer selbst vorgenommen und nicht delegiert. Grüße Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. März 2012 Melden Teilen Geschrieben 30. März 2012 Hi, das Recht eine GPO zu verknüpfen wird auf einer OU festgelegt. D.h. "nein", das Recht kommt nicht automatisch mit, wenn jemand eine GPO erstellen kann. Die GPMC regelt das mit den Berechtigungen. Du kannst mittels GPMC die Rechte auf einer GPO als auch für die OUs (Verlinkung von GPOs) regeln. Viele Grüße olc Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 30. März 2012 Melden Teilen Geschrieben 30. März 2012 das Recht eine GPO zu verknüpfen wird auf einer OU festgelegt. D.h. "nein", das Recht kommt nicht automatisch mit, wenn jemand eine GPO erstellen kann. Die GPMC regelt das mit den Berechtigungen. Du kannst mittels GPMC die Rechte auf einer GPO als auch für die OUs (Verlinkung von GPOs) regeln. Jetzt wissen wir, wie es geht. Ob das der TO auch mitbekommen hat? :confused: Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 30. März 2012 Melden Teilen Geschrieben 30. März 2012 Falls nicht, wird er sich hier sicher nochmal melden. Falls doch, kann er das natürlich auch tun. :) Bye Norbert Zitieren Link zu diesem Kommentar
karlh 10 Geschrieben 2. April 2012 Autor Melden Teilen Geschrieben 2. April 2012 Habs mitbekommen :) Hab die Berechtigungen nur in der GPMC eingetragen und im Netlogon Bereich nichts manuell geändert. Funktioniert, hat anscheinend doch "beide" Seiten geändert. Gruß Karl Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.