phatair 40 Geschrieben 8. März 2019 Melden Geschrieben 8. März 2019 Hallo zusammen, ich muss leider noch einen Beitrag aufmachen - die Umstrukturierung der Admin Accounts zieht ganz schöne Kreise :) Ich möchte eine GPO Admin Delegierung durchführen. Dazu hab ich 2 Beiträge gefunden Vom Mark Von 4Sysops Die beiden Beiträge unterscheiden sich aber etwas: Marks Variante ändert das AD Schema ab, damit bei allen GPOs die neue Sicherheitsgruppe mit den Berechtigungen korrekt übernommen werden. Die Variante von 4Sysops fügt erstmal in AD Benutzer und Computer die Sicherheitsgruppe hinzu, danach wird per powershell befehl für jede GPO die Berechtigung angepasst. Das ganze wird dann per Scheduled Task immer wieder durchgeführt, um neue GPOs auch mit der Berechtigung zu versehen. Ich habe immer noch das (vielleicht veraltete Info) das Schema Änderungen vermieden werden sollten. Wäre somit die 4Sysops Variante die bessere oder ist die Mark Variante problemlos durchführbar? Danke euch schon mal. Gruß Zitieren
Beste Lösung MurdocX 965 Geschrieben 8. März 2019 Beste Lösung Melden Geschrieben 8. März 2019 Beide Varianten verfolgen unterschiedliche Ansätze mit dem gleichen Ergebnis. Vorteil Variante 1: - Es wäre einmal definiert und für alle gleich nutzbar. Nachteil Variante 1: - Ein einfaches Abändern der Gruppe oder eine Umkehrbarkeit ist nicht einfach. Vorteil Variante 2: - Du kannst einfach die Gruppen wechseln und bist insgesamt flexibler Nachteil Variante 2: - Das Skript muss regelmäßig laufen u. Skriptfehler können nicht schnell erkannt werden Die Liste kann noch beliebig fortgeführt werden. Ich würde mich für die Variante 1 entscheiden, weil es einfach einmal einzurichten ist und alle GPOs gleich die richtigen Berechtigungen haben. 1 Zitieren
phatair 40 Geschrieben 8. März 2019 Autor Melden Geschrieben 8. März 2019 Danke Dir. Erhöhen solche Änderungen im Schema nicht auch die Fehleranfälligkeit z.B. bei einem DC Update und dem damit verbundenen Schema Update? Zitieren
MurdocX 965 Geschrieben 8. März 2019 Melden Geschrieben 8. März 2019 Nein die sehe ich nicht. Bisher keine Probleme damit gehabt. 1 Zitieren
v-rtc 92 Geschrieben 8. März 2019 Melden Geschrieben 8. März 2019 Variante 1 kannte ich nicht. Wir haben die Variante 2 gemacht (Neue Rollengruope), allerdings fehlen noch ein paar alte GPOs bzw. das Skript. Würde adhoc V2 nehmen, aus Unerfahrenheit bezüglich V1. Zitieren
daabm 1.391 Geschrieben 11. März 2019 Melden Geschrieben 11. März 2019 Warum haben die Leute immer so panische Angst davor, was im Schema zu ändern? Den Default-SD kann man ja bei Bedarf sogar wieder zurückändern - und ja, wir haben das auch immer so gelöst: Erst Default-SD für die jeweilige Objektklasse angepaßt, dann per Skript alle bereits bestehenden Objekte dieser Klasse aktualisiert. Zitieren
phatair 40 Geschrieben 11. März 2019 Autor Melden Geschrieben 11. März 2019 Panische Angst nicht, aber schon etwas Respekt davor Es gibt aber leider ein Problem beim ändern des Werts defaultSecurityDescriptor. Ich habe auf einem DC den ADSI-Editor geöffnet, mich mit dem Schema verbunden und bin zum CN-Group-Policy-Container navigiert. Ich erhalte folgende Fehlermeldung beim Übernehmen der Änderung. Unser Default Wert lautet: D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED) Marks Wert ist identisch (nur die Sortierung ist anders). Diesem Wert habe ich dann (A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) angehängt. Also so: D:P(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;CO)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;SY)(A;CI;LCRPLORC;;;AU)(OA;CI;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)(A;CI;LCRPLORC;;;ED)(A;CI;CCDCLCSWRPWPDTLOSDRCWDWO;;;<SID DER GPO GRUPPE>) Hab ich irgendwas übersehen? Zitieren
daabm 1.391 Geschrieben 11. März 2019 Melden Geschrieben 11. März 2019 Hast Du verwaiste DCs in deiner Domäne? Für so was müssen alle DCs online und erreichbar sein... Zitieren
phatair 40 Geschrieben 11. März 2019 Autor Melden Geschrieben 11. März 2019 Hm..nicht das ich wüsste. DCDiag zeigt auch keinerlei Fehler an. Ich habe beim verbinden mit dem ADSI-Editor direkt einen DC ausgewählt (Pfad:LDAP://DC1.kts.schlaeger.com/Schema Ist das vielleicht ein Problem - muss ich beim Verbinden unter "Computer" nicht "Standard (Domäne oder Server, an der/dem Sie angemeldet sind)" auswählen, sondern "Domäne oder Server auswählen oder eingeben:" und dort dann den Domänennamen angeben? Zitieren
daabm 1.391 Geschrieben 11. März 2019 Melden Geschrieben 11. März 2019 Hm - "referral" heißt, daß der LDAP-Server, mit dem Du grad verbunden bist, die Funktion nicht ausführen kann, weil ihm was fehlt. Wer ist Schema-Master? (netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"? Zitieren
phatair 40 Geschrieben 11. März 2019 Autor Melden Geschrieben 11. März 2019 (bearbeitet) vor 11 Minuten schrieb daabm: Wer ist Schema-Master? (netdom query fsmo) Ist dein adsiedit mit dem verbunden? Und was sagt "repadmin /showreps"? Schema-Master ist unserer 2. DC (mit dem war ich nicht verbunden). Muss ich mit dem Schema Master verbunden sein? repadmin /showreps zeigt aktuelle Daten und alles erfolgreich an. Ausgeführt auf dem 1. DC (von dem ich ADSI-Edit ausgeführt hatte). bearbeitet 11. März 2019 von phatair Zitieren
daabm 1.391 Geschrieben 11. März 2019 Melden Geschrieben 11. März 2019 Ja mußt Du - Schemaänderungen führt nur der Schemamaster aus. 1 Zitieren
phatair 40 Geschrieben 11. März 2019 Autor Melden Geschrieben 11. März 2019 Hat jetzt alles wunderbar funktioniert, nach dem ich mich mit dem Schema Master verbunden hatte - danke Martin. Habe jetzt alles umgesetzt und Berechtigungen werden für neue GPOs korrekt gesetzt. Die AD Gruppe darf auch GPOs bearbeiten und verlinken. Vielen Dank an euch und vor allem Mark für die super Anleitung! Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.