phatair 39 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Hallo zusammen, ich muss leider noch einen Beitrag aufmachen - die Umstrukturierung der Admin Accounts zieht ganz schöne Kreise :) Ich möchte eine GPO Admin Delegierung durchführen. Dazu hab ich 2 Beiträge gefunden Vom Mark Von 4Sysops Die beiden Beiträge unterscheiden sich aber etwas: Marks Variante ändert das AD Schema ab, damit bei allen GPOs die neue Sicherheitsgruppe mit den Berechtigungen korrekt übernommen werden. Die Variante von 4Sysops fügt erstmal in AD Benutzer und Computer die Sicherheitsgruppe hinzu, danach wird per powershell befehl für jede GPO die Berechtigung angepasst. Das ganze wird dann per Scheduled Task immer wieder durchgeführt, um neue GPOs auch mit der Berechtigung zu versehen. Ich habe immer noch das (vielleicht veraltete Info) das Schema Änderungen vermieden werden sollten. Wäre somit die 4Sysops Variante die bessere oder ist die Mark Variante problemlos durchführbar? Danke euch schon mal. Gruß Zitieren Link zu diesem Kommentar
Beste Lösung MurdocX 949 Geschrieben 8. März 2019 Beste Lösung Melden Teilen Geschrieben 8. März 2019 Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. Vorteil Variante 1: - Es wäre einmal definiert und für alle gleich nutzbar. Nachteil Variante 1: - Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach. Vorteil Variante 2: - Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler Nachteil Variante 2: - Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben. 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 8. März 2019 Autor Melden Teilen Geschrieben 8. März 2019 Danke Dir. Erhöhen solche Änderungen im Schema nicht auch die Fehleranfälligkeit z.B. bei einem DC Update und dem damit verbundenen Schema Update? Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Nein die sehe ich nicht. Bisher keine Probleme damit gehabt. 1 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Variante 1 kannte ich nicht. Wir haben die Variante 2 gemacht (Neue Rollengruope), allerdings fehlen noch ein paar alte GPOs bzw. das Skript. Würde adhoc V2 nehmen, aus Unerfahrenheit bezüglich V1. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 11. März 2019 Melden Teilen Geschrieben 11. März 2019 Warum haben die Leute immer so panische Angst davor, was im Schema zu ändern? Den Default-SD kann man ja bei Bedarf sogar wieder zurückändern - und ja, wir haben das auch immer so gelöst: Erst Default-SD für die jeweilige Objektklasse angepaßt, dann per Skript alle bereits bestehenden Objekte dieser Klasse aktualisiert. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 11. März 2019 Autor Melden Teilen Geschrieben 11. März 2019 Panische Angst nicht, aber schon etwas Respekt davor Es gibt aber leider ein Problem beim ändern des Werts defaultSecurityDescriptor. Ich habe auf einem DC den ADSI-Editor geöffnet, mich mit dem Schema verbunden und bin zum CN-Group-Policy-Container navigiert. Ich erhalte folgende Fehlermeldung beim Übernehmen der Änderung. Unser Default Wert lautet: D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED) Marks Wert ist identisch (nur die Sortierung ist anders). Diesem Wert habe ich dann (A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) angehängt. Also so: D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) Hab ich irgendwas übersehen? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 11. März 2019 Melden Teilen Geschrieben 11. März 2019 Hast Du verwaiste DCs in deiner Domäne? Für so was müssen alle DCs online und erreichbar sein... Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 11. März 2019 Autor Melden Teilen Geschrieben 11. März 2019 Hm..nicht das ich wüsste. DCDiag zeigt auch keinerlei Fehler an. Ich habe beim verbinden mit dem ADSI-Editor direkt einen DC ausgewählt (Pfad:LDAP://DC1.kts.schlaeger.com/Schema Ist das vielleicht ein Problem - muss ich beim Verbinden unter "Computer" nicht "Standard (Domäne oder Server, an der/dem Sie angemeldet sind)" auswählen, sondern "Domäne oder Server auswählen oder eingeben:" und dort dann den Domänennamen angeben? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 11. März 2019 Melden Teilen Geschrieben 11. März 2019 Hm - "referral" heißt, daß der LDAP-Server, mit dem Du grad verbunden bist, die Funktion nicht ausführen kann, weil ihm was fehlt. Wer ist Schema-Master? (netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"? Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 11. März 2019 Autor Melden Teilen Geschrieben 11. März 2019 (bearbeitet) vor 11 Minuten schrieb daabm: Wer ist Schema-Master? (netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"? Schema-Master ist unserer 2. DC (mit dem war ich nicht verbunden). Muss ich mit dem Schema Master verbunden sein? repadmin /showreps zeigt aktuelle Daten und alles erfolgreich an. Ausgeführt auf dem 1. DC (von dem ich ADSI-Edit ausgeführt hatte). bearbeitet 11. März 2019 von phatair Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 11. März 2019 Melden Teilen Geschrieben 11. März 2019 Ja mußt Du - Schemaänderungen führt nur der Schemamaster aus. 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 11. März 2019 Autor Melden Teilen Geschrieben 11. März 2019 Hat jetzt alles wunderbar funktioniert, nach dem ich mich mit dem Schema Master verbunden hatte - danke Martin. Habe jetzt alles umgesetzt und Berechtigungen werden für neue GPOs korrekt gesetzt. Die AD Gruppe darf auch GPOs bearbeiten und verlinken. Vielen Dank an euch und vor allem Mark für die super Anleitung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.