Zuweisen von Benutzerrechten per GPO + lokale Sicherheitsrichtlinie

[aba 10]

Es geht um folgendes Problem, vor dem ich stehe:

 

Netzwerk beim Kunden:

W2k3-Domäne + ca. 120 MemberServer unter W2k und W2k3 (SQL-, Oracle-, Exchange-, File-, Print-Server).

 

Für eine dezentrale Administration sollen die einzelnen MemberServer-Gruppen von unterschiedlichen Administratoren verwaltet werden (z.B. die SQL-Server von den SQL-Operatoren).

Für jede Server-Gruppe wurden OUs erstellt, die Server ihren Aufgaben entsprechend in die OUs verschoben (W2k & W2k3 gemischt).

Für jede Server-Gruppe wurden globale Gruppen in der Domäne erstellt, in die denen die jeweiligen Administratoren Mitglied sind (z.B. SQL-Operators, PrintServer-Operators, ....).

Per GPO wollte ich dann den jeweiligen Gruppen die erforderlichen Benutzerrechte erteilen (z.B. Lokale Anmeldung, Herunterfahren des Systems, ....).

Da bin ich auf folgendes Problem gestossen:

Werden die Benutzerrechte per GPO erteilt, werden alle lokal erteilten Benutzer überschrieben.

Leider sind die Server bei unserem Kunden alles andere als einheitlich konfiguriert, d.h. es wurden zusätzliche individuell Benutzerrechte über die jeweiligen lokalen Sicherheitsrichtlinen erteilt (natürlich undokumentiert ;) ).

Nu steh ich da und grüble, wie ich aus dieser Nummer raus komme

 

Durch die gemischte Umgebung (W2k & W2k3) scheidet die Lösung über die eingeschränkten Gruppen aus, da bei den beiden Betriebssystemen unterschiedliche Benutzer das Recht zur lokalen Anmeldung haben (z.B. IUSR.... unter W2k).

 

 

Bisher ist meine einzige Idee:

Startskript per GPO einbauen, in dem per NTRIGHTS die jeweiligen Benutzerrechte erteilt werden. Dabei werden die Benutzerrechte den vorhanden Einträgen hinzugefügt.

Das entspräche eigentlich dem geforderten Ziel, sieht in meinen Augen allerdings "unelegant" aus.

 

Hat hier vielleicht jemand eine bessere Idee?

Vielen Dank für's Grübeln schon mal im Voraus.

[günterf 45]

Hi!

 

Als erstes habe ich einmal die Frage an welcher Stelle Du die Änderungen in der GPO gemacht hast?

[aba 10]

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten

Und da dann z.B. "Lokal anmelden", "Herunterfahren des System", ...

[günterf 45]

Hi!

 

Danke für die Belehrung!

 

Wenn ich den Weg für die Einstellungen an einer GPO nicht gewusst hätte, gäbe es meine Frage nicht!

 

Also bitte eine Antwort mit Fakten!

[aba 10]

Sorry ... da habe ich dann wohl Deine Frage falsch verstanden. Ich würde es mir nicht anmaßen, Dich zu belehren !!!!

 

Ich hoffe, dass ich sie jetzt richtig verstanden habe!?!?!?!

 

Die jeweiligen GPOs sind mit der dazugehörigen OUs verknüpft, in denen sich die Computerobjekte befinden:

 

Domain (Domain Default Policy)

MemberServer (MemberServer Policy)

SQLServers (SQLServer Policy) <- hier z.B.

FileServer (FileServerPolicy <- hier z.B.

 

 

Sollte das jetzt wieder eine falsche Interpretation Deiner Frage von mir sein, .... schubs mich bitte mal von der Leitung auf der ich stehe und red Klartext.

[günterf 45]

Hi!

 

Ja so, oder ähnlich hatte ich mir eine Antwort vorgestellt! :D

 

Du hast also die GPO auf Domänenebene = unverändert?

 

Auf der OU eine GPO gesetzt und nur den Mitgliedern der OU das übernehmen der Richtlinie erlaubt?

[aba 10]

Jetzt kommen wir der Sache näher:

 

Default Domain Policy regelt nur die Kontenrichtline

 

MemberServer Policy hat nur die Einstellung "Loopbackverarbeitungsmodus" aktiviert / Ersetzen

 

SQLServerPolicy enthält nur die Einstellung für die Benutzerrechte. Berechtigung für die GPO ist default, also Authenticated User lesen/ GPO anwenden. Innerhalb der OU befindet sich nur ein Schwung SQL-Server.

[günterf 45]

Hi!

 

Werden die Benutzerrechte per GPO erteilt, werden alle lokal erteilten Benutzer überschrieben.

 

Frage: die der User oder die der Admins?

[aba 10]

Alle Benutzerberechtigungen, die per lokaler Sicherheitsrichtlinie definiert sind, (Lokale Anmeldung: Administratoren, Benutzer, Hauptbenutzer, Backup Operatoren) werden von der Einstellung der GPO (Lokale Anmeldung: SQL-Operatoren) überschrieben (also dann auch nicht mehr vorhanden).

Wenn die Server alle die Standard-Konfiguration hätten, wäre das ja nicht schlimm, das hätte ich noch irgendwie "gedengelt" bekommen. Aber da ist recht viel individuell von Hand an den lokalen Sicherheitsrichtlinien auf den einzelnen Servern rumgefummelt worden.

[günterf 45]

Hi!

 

Original geschrieben von aba

Wenn die Server alle die Standard-Konfiguration hätten, wäre das ja nicht schlimm, das hätte ich noch irgendwie "gedengelt" bekommen. Aber da ist recht viel individuell von Hand an den lokalen Sicherheitsrichtlinien auf den einzelnen Servern rumgefummelt worden.

 

Dann Hast Du doch jetzt die Möglickeit dieses "gefummel" für jede OU einheitlich festzulegen, über Deine GPO.

 

Oder sind dort Einstellungen die unbedingt erhalten bleiben müssen, und zwar für jeden Server einzeln?

[aba 10]

Jepp. Selbst die lokalen Richtlinien für die Server gleichen Typs sind nicht identisch :(

Und das wird wohl auch erst mal so bleiben müssen, da mir niemand auf Anhieb sagen kann, warum da so viel individuell rumgebastelt wurde :(

[günterf 45]

Hi!

 

Nun wird es lustig!

 

Bevor ich Dir einen falschen Ansatz liefere, will ich noch einmal ein paar Dinge nachlesen.

 

Habe da noch eine Idee, aber erst lesen.

 

Das Ganze wirft bei mir aber die Frage auf, warum bekommst Du den Auftrag, den Serverpark zu organisieren und dann bleibt man doch bei den alten Zöpfen?

 

Tja, ich grabe mal weiter, bin aber erst gegen 20:00 Uhr am Buch.

[aba 10]

Original geschrieben von günterf

... Das Ganze wirft bei mir aber die Frage auf, warum bekommst Du den Auftrag, den Serverpark zu organisieren und dann bleibt man doch bei den alten Zöpfen? ...

 

Tja, das habe ich mich auch gefragt.

Problem ist:

7/24 Betrieb des kompletten LANs, da ist wenig Zeit für downtimes bzw. für Experimente in Richtung "Was passiert, wenn wir es mal anders versuchen?" :)

Bisher ist nur die Beauftragung für die Migration der Domäne von NT4.0 auf W2k3 erteilt worden (inkl. einiger "Randarbeiten") erfolgt. Über "den Rest" müssen wir noch reden.

Das Admin-Team ist, nun ja, ich nenne es mal "kreativ" ... ;)

Manchmal kann man sich die Dinge eben nicht aussuchen :p

[günterf 45]

Hi!

 

Bin gerade erst in meiner Burg angekommen, sprich habe zwar das Buch, aber noch nicht gelesen.

 

Habe da noch ein paar Fragen.

 

Wie sieht die Domänenstruktur aus?

 

Gibt es Subdomänen?

 

Gibt es verschiedene Standorte in AD?

[aba 10]

Stammdomäne mit einer untergeordneten Domäne. Eine 2. Subdomäne soll im Laufe des Jahres noch unter die Stammdomäne "gehängt" werden.

Bisher nur ein Standort .... dabei sollte es eigentlich laut aktueller Planung auch bleiben.