none
Benötigte Rechte um GPO zu erstellen RRS feed

  • Frage

  • Hallo,

    welche Rechte werden benötigt um eine GPO zu erstellen, wenn man keine Domänen-Admin-Rechte hat?

    Kann man es mit den AD-Standard-Mitteln erreichen, dass es Anwender gibt, die ohne Admin-Rechte eine GPO erstellen können, diese aber erst nach Freigabe eines Dritten mit den "echten" OU's verknüpft?

    Grüße

    Julian. 

    Mittwoch, 24. November 2010 08:07

Antworten

  • Hi,

    Am 24.11.2010 09:07, schrieb Julian79:

    welche Rechte werden benötigt um eine GPO zu erstellen, wenn man keine Domänen-Admin-Rechte hat?

    schreibrechte (für das Objekt reduziert) in:
    - cn=policies, cn=system
    - SYSVOL\Policies

    Für weitere Optionen:
    - SYSVOL\StarterGPOs, für StarterGPOs
    - CN=SOM,CN=WMIPolicy,CN=System für WMI Filter
    - gPLink Attribut einer OU zum Verlinken an selbige
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 24. November 2010 18:24
  • Moin,

    Marks Angaben enthalten alles Nötige. Nimm dir eine separate (!) Testumgebung und schau dir mit ADSI Edit und LIZA an, wie die Berechtigungen dort funktionieren. Ändere erst was an deinem Live-AD, wenn du das Gefüge wirklich verstanden hast!

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 25. November 2010 09:26

Alle Antworten

  • Moin,

    man kriegt sowas in der Art hin, aber nur mit erheblichem Testaufwand, weil in der Praxis sich die konkreten Anforderungen doch wieder von Kunde zu Kunde unterscheiden. Ein fertiges Kochrezept wirst du kaum finden bzw. es wird wahrscheinlich nicht genau passen.

    Beschäftige dich mal mit der Gruppe "Richtlinien-Ersteller-Besitzer" und mit den Berechtigungen auf dem "gpLink"-Attribut von OUs. Eine gute Hilfe bei allen AD-Berechtigungsfragen ist LIZA:

    Gruß, Nils

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Mittwoch, 24. November 2010 14:59
  • Hi,

    Am 24.11.2010 09:07, schrieb Julian79:

    welche Rechte werden benötigt um eine GPO zu erstellen, wenn man keine Domänen-Admin-Rechte hat?

    schreibrechte (für das Objekt reduziert) in:
    - cn=policies, cn=system
    - SYSVOL\Policies

    Für weitere Optionen:
    - SYSVOL\StarterGPOs, für StarterGPOs
    - CN=SOM,CN=WMIPolicy,CN=System für WMI Filter
    - gPLink Attribut einer OU zum Verlinken an selbige
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 24. November 2010 18:24
  • Hi,

    also es würde mir schon genügen, wenn ich für einen Anwender generell die Möglichkeit einräumen könnte, dass er GPO's erstellen darf und diese auch bearbeiten darf! Wo muss ich das dann einstellen?

    Mark, sorry die Frage, aber wo setzt du diese Berechtigungen?

    Grüße

    Julian.

    Mittwoch, 24. November 2010 18:46
  • Moin,

    Marks Angaben enthalten alles Nötige. Nimm dir eine separate (!) Testumgebung und schau dir mit ADSI Edit und LIZA an, wie die Berechtigungen dort funktionieren. Ändere erst was an deinem Live-AD, wenn du das Gefüge wirklich verstanden hast!

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 25. November 2010 09:26