Group Policy Delegierung funktioniert nicht

19/05/2009 - 22:15 von Tim | Report spam
Hallo NG,

ich habe folgende Anforderung, bei der ich nicht wirklich voran komme.

Wir haben für unsere AD ein Administrationskonzept geschrieben. Dieses
basiert auf einem Rollenkonzept. Für die Administratoren der GPOs gibt es
auch eine separate Rolle. In unserer Testumgebung versuchen
wir gerade diese Berechtigung erfolgreich zu delegieren. Leider bisher ohne
Erfolg.

Die GPO-Administratoren, sollen die vorhanden GPOs bearbeiten, löschen und
verlinken können. Genauso sollen sie neue anlegen und bearbeiten können.

Jedoch funktioniert nur das anlegen neuer GPOs (diese können dann auch
bearbeitet werden). Das bearbeiten der bereits angelegten GPOs kann nicht
durchgeführt werden (der Punkt Bearbeiten ist ausgegraut)

Folgende Guideline haben wir schon getestet:
http://technet.microsoft.com/en-us/...y/cc776858(WS.10).aspx

Das hinzufügen zur Gruppe der Group Policy Creator Owners hat auch nicht den
erhoften erfolg gebracht.

Müssen evtl. die Berechtigungen nachtràglich geàndert werden? Muss etwas in
den ACLs des SYSVOL geàndert werden?

Habt ihr noch weitere Vorschlàge? Wàre sehr dankbar für hilfreiche Tipps.

Beste Grüße,
Tim
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
20/05/2009 - 14:07 | Warnen spam
Hi,

Tim schrieb:
Die GPO-Administratoren, sollen die vorhanden GPOs bearbeiten, löschen und
verlinken können. Genauso sollen sie neue anlegen und bearbeiten können.



Das sind ja 3 unterschiedliche Berechtigungen
1x Berechtigugnen an cn=policies,cn=system,dc=...
1x Berechtigungen im SYSVOL
1x gPLink Attribut an JEDER! OU, bzw. Domàne.

Die ersten beiden erledigst du am einfachsten über die Gruppen
"Richtlinien Ersteller/Besitzer"

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen