screamager 2 Geschrieben 4. Mai 2018 Melden Geschrieben 4. Mai 2018 Hallo zusammen, kennt jemand von Euch eine Möglichkeit per Powershell die Deligierung von GPO's anzupassen? Folgendes Szenario: Eine bestehende GPO wird per Powershell importiert und korrekt verknüpft (New-GPO -> Import-GPO -> New-GPLink). Für eine bestimmte AD-Gruppe soll jetzt die Berechtigung "GPO übernehmen" auf "Verweigern" gesetzt werden. Ist dies überhaupt möglich? Habe leider bisher hierzu nichts gefunden. Vielen Dank für Eure Hilfe, Rüdiger Zitieren
NilsK 2.978 Geschrieben 4. Mai 2018 Melden Geschrieben 4. Mai 2018 Moin, da es sich um Berechtigungseinträge handelt, wirst du das über die Manipulation der ACL regeln müssen. Dafür gibt es kein GPO-Cmdlet. Man bekommt das per PowerShell hin, aber Berechtigungen sind damit immer sehr aufwändig und fehlerträchtig. Gruß, Nils Zitieren
Beste Lösung screamager 2 Geschrieben 4. Mai 2018 Autor Beste Lösung Melden Geschrieben 4. Mai 2018 Hi zusammen, scheint so als ob ich eine Lösung gefunden habe: $gpo = Get-GPO -Name GPOName $adgpo = [ADSI]"LDAP://CN=`{$($gpo.Id.guid)`},CN=Policies,CN=System,DC=domain,DC=local" $rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule( [System.Security.Principal.NTAccount]"domain\Domänen-Admins", "ExtendedRight", "Deny", [Guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939" ) $acl = $adgpo.ObjectSecurity $acl.AddAccessRule($rule) $adgpo.CommitChanges() Hab's getestet, geht Hier gefunden: Technet Link und für die Security Permissions: https://technet.microsoft.com/en-us/library/ff405676.aspx Viele Grüße, Rüdiger Zitieren
NilsK 2.978 Geschrieben 4. Mai 2018 Melden Geschrieben 4. Mai 2018 Moin, prima, danke für die Rückmeldung. Gruß, Nils Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.