screamager 2 Geschrieben 4. Mai 2018 Melden Teilen Geschrieben 4. Mai 2018 Hallo zusammen, kennt jemand von Euch eine Möglichkeit per Powershell die Deligierung von GPO's anzupassen? Folgendes Szenario: Eine bestehende GPO wird per Powershell importiert und korrekt verknüpft (New-GPO -> Import-GPO -> New-GPLink). Für eine bestimmte AD-Gruppe soll jetzt die Berechtigung "GPO übernehmen" auf "Verweigern" gesetzt werden. Ist dies überhaupt möglich? Habe leider bisher hierzu nichts gefunden. Vielen Dank für Eure Hilfe, Rüdiger Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Mai 2018 Melden Teilen Geschrieben 4. Mai 2018 Moin, da es sich um Berechtigungseinträge handelt, wirst du das über die Manipulation der ACL regeln müssen. Dafür gibt es kein GPO-Cmdlet. Man bekommt das per PowerShell hin, aber Berechtigungen sind damit immer sehr aufwändig und fehlerträchtig. Gruß, Nils Zitieren Link zu diesem Kommentar
Beste Lösung screamager 2 Geschrieben 4. Mai 2018 Autor Beste Lösung Melden Teilen Geschrieben 4. Mai 2018 Hi zusammen, scheint so als ob ich eine Lösung gefunden habe: $gpo = Get-GPO -Name GPOName $adgpo = [ADSI]"LDAP://CN=`{$($gpo.Id.guid)`},CN=Policies,CN=System,DC=domain,DC=local" $rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule( [System.Security.Principal.NTAccount]"domain\Domänen-Admins", "ExtendedRight", "Deny", [Guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939" ) $acl = $adgpo.ObjectSecurity $acl.AddAccessRule($rule) $adgpo.CommitChanges() Hab's getestet, geht Hier gefunden: Technet Link und für die Security Permissions: https://technet.microsoft.com/en-us/library/ff405676.aspx Viele Grüße, Rüdiger Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. Mai 2018 Melden Teilen Geschrieben 4. Mai 2018 Moin, prima, danke für die Rückmeldung. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.