none
zugriff auf Gruppenrichtlinienverwaltung verweigern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe in meiner Firma das Problem, dass es einen Account mit Domänenadminrechten gibt um ein Programm (CRM) zu administrieren. Dieser Account wird in einem anderem Team benutzt. Dieses Team sollte aber mit diesem Account keine Rechte haben um Gruppenrichtlinien zu lesen, erstellen, bearbeiten oder löschen zu können. Dies ist ja normalerweise einem Domänenadmin erlaubt. Kann mir jemand sagen wie ich diesem User den Zugriff auf die Gruppenrichtlinienverwaltung mittels einer Gruppenrichtlinie verweigern kann?

    Gruß Lupa

    Donnerstag, 24. November 2011 20:15
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    >Kann mir jemand sagen wie ich diesem User den Zugriff auf die Gruppenrichtlinienverwaltung mittels einer Gruppenrichtlinie verweigern kann?

    eine Möglichkeit ist natürlich das Verbieten der gpmc.
    Dieses könntest du per AppLocker oder Software Restriction Policies bewerkstelligen.

    Allerdings ist das meiner Meinung nach der falsche Weg.

    GPO besitzen ebenfalls ACE's.
    D.h. der richtige Weg wäre, diesen Account explizit zu verweigern.
    Die Gruppe Domain Admins bleibt weiterhin berechtigt.

    Dieser Account kann natürlich weiter die Policies lesen und wenn nötig die Polcies auch übernehmen.

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/

    Donnerstag, 24. November 2011 21:35
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Matthias,

     

    vielen Dank für deine Antwort. Habe es mit Applocker probiert, aber damit kann ich nicht den Zugriff auf die gpmc.msc verhindern. Jedenfalls habe ich es nicht herausgefunden wie es geht (exe, dll, msi schon). Deine zweite Lösung betrifft einzelne GPO. ich möchte aber verhindern das dieser Account überhaupt mit der gpmc.msc arbeiten kann, da dieser Account keine GPO erstellen, löschen oder bearbeiten soll. Er sollte aber weiterhin alle GPO die diesen Account betrifft verarbeiten.

    Ich möchte es über eine Gruppenrichtlinie machen, da der Account, wenn er keine Rechte auf die gpmc hat, diese Einstellungen auch nicht mehr verändern kann (d.h. sich selbst die Rechte zurück holen kann)

    Hast Du dafür vielleicht eine Idee. Diesem Account die Domadminrechte entziehen (wäre das einfachste) geht aber nicht.

    Gruß Lupa

    Freitag, 25. November 2011 08:42
    |
  • Question
    Anmelden
    0
    Anmelden

    >Hast Du dafür vielleicht eine Idee. Diesem Account die Domadminrechte entziehen (wäre das einfachste) geht aber nicht.

    Ja. Erteile die Berechtigungen mittels adsiedit.msc.

    Navigiere zu CN=Policies,CN=System,DC=domain,DC=de.

    Dort kannst du dann den User in den ACLs eintragen und verweigern.

    Allerdings ist die Vererbung für die einzelnen GPOs standardmäßig nicht aktiv.

    >Habe es mit Applocker probiert, aber damit kann ich nicht den Zugriff auf die gpmc.msc verhindern

    Ok, bei .msc ist es dann leider nicht möglich.

    Wenn du das auch für künftig erstelle GPOs automatisch haben möchtest,
    musst du noch den DefaultSecurityDescriptor für GPOs anpassen.

    >Diesem Account die Domadminrechte entziehen (wäre das einfachste) geht aber nicht.

    Warum geht das organisatorisch nicht?

    MVP - Group Policy http://matthiaswolf.blogspot.com/

    Freitag, 25. November 2011 09:34
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 24.11.2011 21:15, schrieb Lupa_dingbums:

    ich habe in meiner Firma das Problem, dass es einen Account mit
    Domänenadminrechten gibt um ein Programm (CRM) zu administrieren.

    Das ist der Fehler, den du beheben musst.

    Ein Admin ist ein Admin ist ein Admin.

    Der andere Weg lautet: Reden, wenn Reden nicht hilft ist
    Arbeitsanweisung der nächste Schritt, wenn die ignoriert wird gibt als
    nächste Stufe eine Abmahung und als letztes Mittel die Kündigung.

    Du kannst einem Admin nichts verbieten, wenn du ihm nichts verbieten
    kannst, darf er keine Admin sein, wenn er einer ist, dann muss er
    mitdenken.

    Du kannst keine sozialen Problem mit Technik lösen.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 25. November 2011 09:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.11.2011 10:34, schrieb Matthias Wolf [MVP]:

    Ja. Erteile die Berechtigungen mittels adsiedit.msc.

    Was hilft das? Er ist Admin und kann sich die Rechte immer wieder geben.

    Die Diskussion ist schlicht sinnlos, denn die Anforderung vom OP
    | diese Einstellungen auch nicht mehr verändern kann (d.h. sich selbst
    | die Rechte zurück holen kann)

    kann niemals für einen Domänen Admin Account realisiert werden.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 25. November 2011 10:07
    |
  • Question
    Anmelden
    0
    Anmelden
    > Ja. Erteile die Berechtigungen mittels adsiedit.msc.
     
    Warum so kompliziert? Geht auch direkt per gpmc.msc - Delegierung -
    Erweitert (:
     
    > Ok, bei .msc ist es dann leider nicht möglich.
     
    Jepp, da müßte man mmc.exe verbieten. Aber
    Benutzerkonfiguration\Richtlinien\Administrative
    Vorlagen\Windows-Komponenten\Microsoft Management
    Konsole\Eingeschränkte/zugelassene Snap-Ins (und die Unterkategorien)
    hilft auch ein wenig.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Freitag, 25. November 2011 10:21
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    > ich habe in meiner Firma das Problem, dass es einen Account mit
    > Domänenadminrechten gibt um ein Programm (CRM) zu administrieren. Dieser
     
    Schließe mich Mark an: Ein Admin ist ein Admin ist ein Admin... Du
    kannst - siehe Matthias - ihm explizit das Recht zum Bearbeiten von GPOs
    verweigern, das kann er sich aber wieder holen. Du kannst auch bestimmte
    MMC-Snapins verbieten (das dürfte sein, was Du suchts), aber auch das
    kann er sich (-> Admin!) wieder holen.
     
    Unter Benutzerkonfiguration\Richtlinien\Administrative
    Vorlagen\Windows-Komponenten\Microsoft Management
    Konsole\Eingeschränkte/zugelassene Snap-Ins\Gruppenrichtlinie findest
    Du, was Du brauchst.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Freitag, 25. November 2011 10:21
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    >Was hilft das? Er ist Admin und kann sich die Rechte immer wieder geben.

    Na nix!

    Aber das ist egal welche Lösung, so lange er Admin ist, kann er jede Lösung wieder umbiegen.
    Aber das steht auf einem anderen Blatt.

    Deshalb hatte ich ja gefragt:

    >Diesem Account die Domadminrechte entziehen (wäre das einfachste) geht aber nicht.

    >Warum geht das organisatorisch nicht?

    >Warum so kompliziert? Geht auch direkt per gpmc.msc - Delegierung

    Ja das schon.
    Aber nur für vorhandene GPOs.
    Für alle GPOs lassen sich, AFAIK nur User eintragen allerdings keine detaillierte ACLs.

    Siehe hier:

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 25. November 2011 10:34
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    > Für alle GPOs lassen sich, AFAIK nur User eintragen allerdings keine
    > detaillierte ACLs.
     
    Ah - ok, ich war im falschen Ordner (:
     
    A bissle "Experience", a bissle GMV...
    Freitag, 25. November 2011 10:38
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Da bin ich echt platt wie hier über mein Problem diskutiert wird....vielen Dank.

     

    Aber ich sehe schon, mit unterbinden des Zugriffs auf die Gruppenrichtlinienbearbeitung wird es wohl nichts. 

    Hat hier jemand Erfahrungen mit Microsoft CRM 4.0? Muß es da wirklich einen Account geben der Domänenadmin ist um dieses Programm zu verwalten?

    Sonst müßte es ja gehen, dass man nur auf die Bereiche des AD Rechte gibt wo man sie auch wirklich braucht. Und dann den Account runterstuffen.

    Um nochmal auf die Diskusion zurück zu kommen: Problem ist, es gibt 3 leute in der IT die diesen Account mit Kennwort kennen. Alle sind eigentlich nicht befugt in der AD oder gpmc was zu machen. Leider denken sie so, dass sie es einfach machen, da sie ja diesen CRM-Account haben. In der Nachverfolgung sieht man immer nur den CRM-Account als ausführer aber leider nicht wer es wirklich war. Und auf nachfrage war es wie immer niemand. Deshalb war der Tipp mit "abmahnung" zwar gut, kann aber wieder nicht umgesetzt werden.

    deshalb die Frage ob man wenigsten die Gruppenrichtlinienverwaltung dicht machen kann, da ich mir eine Menge arbeit ersparen möchte. 

    @ Mark: Sollte mich mal wieder auf einen Kurs bei Dir anmelden....der letzte ist schon lange her, aber war super. Mal schauen ob es nächstes Jahr klappt.

     

    Gruß Lupa

    Freitag, 25. November 2011 14:29
    |
  • Question
    Anmelden
    0
    Anmelden
    > Um nochmal auf die Diskusion zurück zu kommen: Problem ist, es gibt 3
    > leute in der IT die diesen Account mit Kennwort kennen. Alle sind
     
    Warum verwenden die 3 alle den gleichen Account und nicht einen
    personalisierten? (Ich kenne mich mit CRM zwar nicht aus, aber
    "normalerweise" sollte das gehen.)
     
    Domänen-Admins, die als technische Accounts oder Teamuser verwendet
    werden - tz tz (:
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Freitag, 25. November 2011 14:52
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Ich kenne mich ebenfalls nicht mit CRM aus.

    Aber ich kann mir nicht vorstellen, dass diese Domain Admin Account zwingen erforderlich ist.

    Schau dir mal das hier an (allerdings für Version 3.0)

    Es bezieht sich allerdings nur auf die Installation von CRM.

    http://www.markwilson.co.uk/blog/2007/09/installing-microsoft-dynamics-crm-without-domain-administrator-rights.htm

    http://support.microsoft.com/kb/908984

    Edit:

    Oder wir nehmen einfach das hier für die 4.0er :-)

    http://support.microsoft.com/kb/946677/en-us

    MVP - Group Policy http://matthiaswolf.blogspot.com/

    Freitag, 25. November 2011 14:59
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Matthias,

     

    vielen Dank für die Info. Das hilft mir weiter. Bis jetzt mußte sich mein Abteilungsleiter auf die Aussage der CRM-Admins verlassen, dass es ohne Domänenadminrechte nicht geht. Den nur die hatten einblick in dieses Programm.

    Also kann ich in zusammenarbeit der CRM-Admins den Account so umbauen das ich ihm die Domadminrechte entziehen kann.

    Das ist sogar noch besser als das ich irgendwas in den Gruppenrichtlinien verweigern.

     

    Vielen dank für eure Hilfe

     

    gruß Lupa

    Freitag, 25. November 2011 19:54
    |