none
AGPM: Sicherheitsgruppenfilterung / ACL auf Policy setzt sich nach "Bereitstellen" im AGPM wieder zurück RRS feed

  • Frage

  • Hi Zusammen,

     

    teste gerade mit AGPM 4.0 rum und finds ja ganz gut. Was ich nur nicht ganz checke ist, warum sich die ACL einer Policy wieder auf den Zustand zurücksetzt, der war als die Policy übernommen wurde bzw. der auf der Vorlage der Policy bei der Erstellung war.

    Da ich im AGPM ja keine MÖglichkeit habe die ACL zu bearbeiten um die Sicherheitsgruppenfilterung zu nutzen, muss ich dies ja über die normalen Wege in der GPMC tun. Auschecken und Beareiten nutzt auch nichts. Nach dem Einchecken und Bereitstellen ist die ACL wieder auf dem alten Zustand, was sehr sehr suboptimal ist.

    Was mach ich falsch? Wie ist das Konzept für die ACL Bearbeitung zur Nutzung von Sicherheitsgruppenfilterung im Zusammenspiel mit dem AGPM?

     

    Danke und Gruss

    Bastian

    Montag, 25. Juli 2011 06:26

Antworten

  • Hallo,

     

    ja ich habe inzwischen herausgefunden wie es wohl mit AGPM "richtig" gemacht wird.

    Funktionierendes Vorgehen ist:

    - Auschecken

    - Bearbeiten

    - Im aufgehenden Policy Editor den obersten "Knoten", also den Policy Namen markieren

    - Kontextmenü -> Eigenschaften

    - Registerkarte "Sicherheit" und dort die ACL bearbeiten

    - Einchecken

    - Bereitstellen

     

    Etwas umständlich bzw. wenig intuitiv, aber so bekommt man die Berechtigungen bzw. die Sicherheitsgruppenfilterung auch in den Workflow mit rein.

    Verbesserungswürdig find ich auch die Integration in die GPMC. Es sollte klarer sein, welche Funktionalitäten in den normalen GPMC "Zweigen" nicht mehr genutzt werden sollten.

    Auch ist meiner Meinung nach verbesserungswürdig, wie man sieht, (z.B. farblich/grafisch), dass die aktuelle Policy im Archiv noch nicht bereitgestellt wurde.

    Aber ansonsten ein nettes Tool (wenn man sich vor allem den Preis der Konkurrenz anschaut), welches ich denke nun produktiv nutzen werde um Versionierung und rudimentäre Workflows abzubilden.

     

    Danke für Eure Hilfen!

    Bastian

    • Als Antwort markiert baschuel Freitag, 29. Juli 2011 17:01
    Freitag, 29. Juli 2011 17:01

Alle Antworten

  • Am 25.07.2011 08:26, schrieb baschuel:
     Da ich im AGPM ja keine MÖglichkeit habe die ACL zu bearbeiten um die

    Sicherheitsgruppenfilterung zu nutzen, muss ich dies ja über die
    normalen Wege in der GPMC tun.

    - GPO in AGPM integrieren/verwalten oder vorhandene zum Bearbeiten
    auschecken
    - bearbeiten / editieren / Sicherheitsfilter ändern
    - einchecken und deployen

    Ich denke du hast "deploy" vergessen, denn erst dann wird sie aus dem
    Store in die Produktivumgebung integriert. Vorher sind keinerlei
    Änderungen "Life", sondern immer noch offline.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 25. Juli 2011 15:56
  • deploy bzw. bereitstellen ist ja genau mein Problem. Sobald ich die Policy "deploye/bereitstelle" wird die initiale ACL, also die ACEs, die bei der Übernahme der GPO in AGPM Verwaltung bzw. bei Erstellung der GPO in AGPM auf der benutzten Vorlage, gesetzt waren, wieder gesetzt.

    Einzige Lösung bisher die ACL wie gewünscht zu übernehmen ist ohne Auschecken "Import aus Produktion" und dann bereitstellen...

    Montag, 25. Juli 2011 17:21
  • Hallo,

    bist Du hier inzwischen weitergekommen?

    Gruss,
    Raul

    Freitag, 29. Juli 2011 14:22
  • Am 25.07.2011 19:21, schrieb baschuel:

    Einzige Lösung bisher die ACL wie gewünscht zu übernehmen ist ohne
    Auschecken "Import aus Produktion" und dann bereitstellen...

    Stimmt, entschuldige, das ist das "richtige" Verhalten, so wie du es
    beschreibst. Das geht leider technisch nicht anders. Warum?

    AGPM "zaubert" nicht, es nutzt die GPMC Funktionen.
    - Der Store ist nichts anderes als ein Backup Ordner mit NTFS Rechten
    - ausbuchen/editieren ist nichts anderes als Kopie der LifeGPO erstellen
      diese edieren und dann im Store zu "backupen"
      (aktualisiere mal in die GPO Objekte wenn du editierst)
    - deployen ist ImportGPO aus dem Store

    Die ACL wird aber immer nur im LifeObjekt editiert, nicht im Store. Im
    Store liegen nur Backups von echten, bzw. von Kopien der echten GPOs.
    Bei der Veröffentlichung können sie die Änderungen ausserhalb des Stores
    garnicht mitbekommen haben.

    Einzige Lösung in dem Fall
    - Import von Produktion
    - editieren der ACL im GPO Objekt "Kopie von ..."

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 29. Juli 2011 15:01
  • Hallo,

     

    ja ich habe inzwischen herausgefunden wie es wohl mit AGPM "richtig" gemacht wird.

    Funktionierendes Vorgehen ist:

    - Auschecken

    - Bearbeiten

    - Im aufgehenden Policy Editor den obersten "Knoten", also den Policy Namen markieren

    - Kontextmenü -> Eigenschaften

    - Registerkarte "Sicherheit" und dort die ACL bearbeiten

    - Einchecken

    - Bereitstellen

     

    Etwas umständlich bzw. wenig intuitiv, aber so bekommt man die Berechtigungen bzw. die Sicherheitsgruppenfilterung auch in den Workflow mit rein.

    Verbesserungswürdig find ich auch die Integration in die GPMC. Es sollte klarer sein, welche Funktionalitäten in den normalen GPMC "Zweigen" nicht mehr genutzt werden sollten.

    Auch ist meiner Meinung nach verbesserungswürdig, wie man sieht, (z.B. farblich/grafisch), dass die aktuelle Policy im Archiv noch nicht bereitgestellt wurde.

    Aber ansonsten ein nettes Tool (wenn man sich vor allem den Preis der Konkurrenz anschaut), welches ich denke nun produktiv nutzen werde um Versionierung und rudimentäre Workflows abzubilden.

     

    Danke für Eure Hilfen!

    Bastian

    • Als Antwort markiert baschuel Freitag, 29. Juli 2011 17:01
    Freitag, 29. Juli 2011 17:01
  • Hi

    Am 29.07.2011 19:01, schrieb baschuel:

    Verbesserungswürdig find ich auch die Integration in die GPMC. Es
    sollte klarer sein, welche Funktionalitäten in den normalen GPMC
    "Zweigen" nicht mehr genutzt werden sollten.

    Das Problem an AGPM ist, du kannst keinen zwingen es zu nutzen.
    Deswegen ist es immer nur ein "AddOn", es kann keine Funktionen
    rausnehmen oder ändern.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 29. Juli 2011 19:04