Windows Server 2012 R2 Frage zu Berechtigungsvergabe für GPOs

[crashbandicot]

Hi,

ich bin etwas aus dem Thema raus und brauche daher evtl. etwas Starthilfe. Ist es auch mit 2012R2 nicht möglich, dedizierte und vererbte Edit-Berechtigungen auf GPOs zu vergeben?

Was ich möchte: Einer bestimmten Berechtigungsgruppe (Bsp.: GPOAdmin) Edit-Berechtigungen auf vorhandene und neu erstellte GPOs geben. Die Gruppe soll ebenfalls berechtigt sein, GPOs zu erstellen und zu verlinken (beides ist über Delegation in der GPMC bereits eingerichtet).

Was bisher funktioniert: GPOs erstellen und verlinken funktioniert. Erstellt Nutzer A (Mitglied der Gruppe GPOAdmin) dann eine GPO, wird Nutzer A mit Edit-Berechtigungen eingetragen. Ein Nutzer B (ebenfalls Mitglied von GPOAdmin) darf diese GPO dann aber nicht bearbeiten.

Wie ich mir helfen kann: Über ein Powershell Script, welches alle paar Minuten/Stunden/Tage die Berechtigungen auf alle GPOs (Ausnahme DDP/DDCP) entsprechend setzt.

Import-Module GroupPolicy
$group = "GPOAdmin"
$plevel = "GpoEditDeleteModifySecurity"
$gpos = get-gpo -All | where {$_.DisplayName -like "*"}
foreach ($gpo in $gpos)
{
    $gpname = $gpo.DisplayName
    if($gpname -like "Default Domain*")
        {}
    else
        {
	    Set-GPPermissions -Name $gpname -PermissionLevel $plevel -TargetName $group -TargetType Group
        }
}

Das kommt mir aber stümpferhaft vor und ich kann nicht erkennen, ob und warum MS uns solche Stolpersteine in den Weg legt. Aber vielleicht bin ich auch einfach zu sehr aus dem Thema AD/GPOs raus und weiß es einfach nur nicht besser.

 

[Galaxy9000]

Möchtest Du jetzt eine GPO nur delegieren, dass andere User diese bearbeiten können, oder was hast Du genau vor? Verstehe die Frage nicht. Was steht in den Security Reiter der GPOs?

 

[crashbandicot]

Ich möchte eine AD-Gruppe (mit xx Nutzern) auf alle bestehenden und kommenden GPOs berechtigen. Es gibt aber anscheinend keine Möglichkeit Berechtigungen zu vererben.

 

[Eagle_B5]

Sollte mit den Gruppenrichtlinienverwaltung möglich sein. Einfach die Domäne im Baum links wählen und unter Delegation eine entsprechende Gruppe für das Bearbeiten der Richtlinien berechtigen. Diese kann nach unten weiter vererbt werden.

https://technet.microsoft.com/en-us/magazine/gg416505.aspx

Cheers

 

[crashbandicot]

In deinem Screenshot wird dann aber nur die Berechtigung "Link GPOs" vergeben.

 

[Eagle_B5]

Alles kann ich nicht abdecken mit einem Bild, etwas suchen mithilfe des Technet Artikels kannst du auch selber.

Cheers

 

[crashbandicot]

Dass ich Berechtigungen auf einzelne GPOs verteilen kann ist mir klar. Ich möchte aber nicht >1.000 GPOs anfassen um dort eine Berechtigungsgruppe hinzuzufügen. Da hilft mir dein verlinkter Artikel auch nicht weiter.

 

[Eagle_B5]

Dann bleibt nur der Umweg über Scripting, schau hier --> https://technet.microsoft.com/en-us/library/cc784365(WS.10).aspx

Mit dem Script "Grant Permissions for all GPOs in a Domain - GrantPermissionOnAllGPOs.wsf - Grants a user or group the specified level of permission for all GPOs in the specified domain" sollte dir geholfen sein.

Cheers

 

[crashbandicot]

Ok, über ein Script habe ich es bis jetzt auch geschafft. Ich hatte auf eine native Lösung von MS gehofft. Naja, kann man wohl nichts machen...