Delegierung Gruppenrichtlinien bearbeiten

13/06/2008 - 12:32 von André Partecke | Report spam
Hallo NG

Ich möchte einer Admin-Gruppe die Berechtigung zur Verwaltung von
Gruppenrichtlinien geben.
In der Gruppe Richtlinien-Ersteller-Besitzer sind die Admins drin, sie
dürfen also GPO's erstellen.
Weiterhin wurden die Berechtigungen auf die entsprechende OU's verteilt,
sodass die GPO Links ebenfalls erstellt werden können.

Nun soll es aber so sein, dass bereits bestehende GPO's bearbeitet werden
sollen.
Muss ich hier für jede der GPO's die entsprechenden Berechtigungen erteilen?

Wenn Admin1 in der Gruppe GPO-Admins eine GPO erstellt, kann dann auch
Admin2 in GPO-Admins diese GPO bearbeiten?
Zur Zeit sieht es so aus, dass nur der Ersteller-Besitzer dieses darf.

Hier herrscht eine sehr kleine Admin-Hierachie, daher sollen die Admins alle
drei Aufgaben erfüllen dürfen: GPO erstellen, GPO verlinken, GPO bearbeiten


Danke & Gruß
André
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
14/06/2008 - 14:07 | Warnen spam
Hi,

André Partecke schrieb:
Nun soll es aber so sein, dass bereits bestehende GPO's bearbeitet werden
sollen. Muss ich hier für jede der GPO's die entsprechenden Berechtigungen erteilen?



Ja. Die Delegation ist genaugenomman auf 3 Orte verteilt.
1. Dateisystem / AD cn=policies,cn=system beide werden über den Delegieren
Reiter der GPMC gesteuert, können aber getrennt konfiguriert werden,
wenn man mag.
-> Damit wird aber nur das Recht an einen GPO Objekt geregelt.
2. verlinkte GPOs sind im Attribut "gpLink" der OU hinterlegt und dort
entscheidet sich, wer ein vorhandenes Objekt an die OU verknüpfen kann.
-> es geht aber nur um das Recht "Verlinken" dürfen. Hat nichts mirt dem
erstellen des Objekts zu tun
3. Jetzt kommen ab 2008/Vista SP1 nocht die StarterGPOs hinzu ...
-> Dateisystem

Ich würde auf AGPM aus dem MDOP zurückgreifen.

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Ähnliche fragen