locked
Option modifier GPO grisé lorsqu'une personne tente de modifier une GPO créer par une autre personne. RRS feed

  • Question

  • Bonjour,

    Admin01 et Admin02 font partie du groupe Admingroup.

    J'ai rajouté le groupe Admingroup dans le groupe Group Policy Creation Owner.

    Le problème est que lorsque Admin01 crée une GPO, Admin02 ne peut pas la modifier (uniquement la linker/délinker ou supprimer).

    Peut être qu'il faut modifier certains droits ?

    jeudi 20 avril 2017 10:33

Réponses

  • Je viens de trouver la solution en rajoutant le SID du groupe dans l'attribut defaultSecurityDescriptor du CN=Group-Policy-Container.
    • Marqué comme réponse puffydee jeudi 20 avril 2017 13:40
    jeudi 20 avril 2017 13:36
  • Merci, c'est exactement ce que j'ai fait, et malheureusement cela ne tient pas compte de l'Ou et cela s'applique sur toutes les GPOs.

    Essayer de tester ce code , le mettre dans un fichier.ps1 et l’exécuter:

    $GUIDRegex = "{[a-zA-Z0-9]{8}[-][a-zA-Z0-9]{4}[-][a-zA-Z0-9]{4}[-][a-zA-Z0-9]{4}[-][a-zA-Z0-9]{12}}"  
    $LinkedGPOs = Get-ADOrganizationalUnit -Filter * -SearchBase "OU=test,DC=lab,DC=test"} | select -ExpandProperty LinkedGroupPolicyObjects   
    foreach($LinkedGPO in $LinkedGPOs) {            
        $result = [Regex]::Match($LinkedGPO,$GUIDRegex);            
        if($result.Success) {            
            $GPOGuid = $result.Value.TrimStart("{").TrimEnd("}")            
             Set-GPPermissions -Guid $GPOGuid -TargetName "test2" -TargetType Group -PermissionLevel GpoEditDeleteModifySecurity        
        }            
                
    }
    
    #OU=test,DC=lab,DC=test c'est l'OU parent et test2 le nom groupe de la sécurité en question


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 20 avril 2017 16:46
    Auteur de réponse

Toutes les réponses

  • Bonjour,

    Admin01 et Admin02 font partie du groupe Admingroup.

    J'ai rajouté le groupe Admingroup dans le groupe Group Policy Creation Owner.

    Le problème est que lorsque Admin01 crée une GPO, Admin02 ne peut pas la modifier (uniquement la linker/délinker ou supprimer).

    Peut être qu'il faut modifier certains droits ?

    Bonjour,

    Comportement normal, par défaut les seules qui sont capables d'éditer une GPO sont :

    •  Les membres du groupe Domain Administrators,
    • Les membres du groupe  Enterprise Administrators,
    • ET Creator Owner (c'est lui qui a créer la GPO)

    D'être membre du groupe Group Policy Creation Owner donne le droit de créer des nouvelles GPO et ne pas éditer les GPO existantes.
    Pour votre cas , Admon 02 ne peut pas éditer une GPO créée par ADmin01 , même s'il est membre du groupe 
    Group Policy Creation Owner.
    Pour avoir plus de détails veuillez consulter le lien ci-dessous:

    Delegating Control of Group Policy


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 20 avril 2017 12:02
    Auteur de réponse
  • Bonjour,

    Je pense que je ne suis pas le seul à tenter de mettre en place ce type de droit, à savoir les membres d'un groupe puissent créer, modifier, linker et supprimer les GPOs d'une OU, donc j'imagine qu'il y a un moyen pour modifier toutes les GPOs quelque soit le membre de ce groupe qui tente de le faire...

    • Modifié puffydee jeudi 20 avril 2017 12:29 modif
    jeudi 20 avril 2017 12:27
  • Je viens de trouver la solution en rajoutant le SID du groupe dans l'attribut defaultSecurityDescriptor du CN=Group-Policy-Container.
    • Marqué comme réponse puffydee jeudi 20 avril 2017 13:40
    jeudi 20 avril 2017 13:36
  • Bonjour,

    Je pense que je ne suis pas le seul à tenter de mettre en place ce type de droit, à savoir les membres d'un groupe puissent créer, modifier, linker et supprimer les GPOs d'une OU, donc j'imagine qu'il y a un moyen pour modifier toutes les GPOs quelque soit le membre de ce groupe qui tente de le faire...

    dans ce cas vous pouvez utiliser une commande powershell pour ajouter la délégation à un groupe de sécurité de gérer les GPO via la commande sur toutes les GPO :

    #importer le module Powershell pour la gestion des GPO import-module grouppolicy

    #Ajouter la délégation à GroupName sur toutes les GPO du domaine Get-GPO -all | foreach {Set-GPPermission -All -TargetName "GroupName" -TargetType Group -PermissionLevel GpoEditDeleteModifySecurity}



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 20 avril 2017 14:16
    Auteur de réponse
  • Oui je connais cette commande mais il s'agit de toutes les GPOs d'une OU et de ces OUs enfants. Avec get-gpo -all, cela agit sur toutes les GPOs du domaine.
    jeudi 20 avril 2017 14:28
  • Oui je connais cette commande mais il s'agit de toutes les GPOs d'une OU et de ces OUs enfants. Avec get-gpo -all, cela agit sur toutes les GPOs du domaine.

    Pour votre cas il faut mettre l'OU parent à la place du "OU=test,DC=lab,DC=lan" et le groupe à la place du test2


    #imporeter le module powershell GPO et active directory
    import-module grouppolicy
    import-module activedirectory
    
    # Déléguer la gestion des GPO qui sont liés à l'OU test et les OU enfants au groupe test2 
     Get-ADOrganizationalUnit -Filter * -SearchBase "OU=test,DC=lab,DC=lan" | select LinkedGroupPolicyObjects | foreach { Set-GPPermissions -All -TargetName "test2" -TargetType Group -Permis
    sionLevel GpoEditDeleteModifySecurity
    
    


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    jeudi 20 avril 2017 15:03
    Auteur de réponse
  • Merci, c'est exactement ce que j'ai fait, et malheureusement cela ne tient pas compte de l'Ou et cela s'applique sur toutes les GPOs.
    jeudi 20 avril 2017 15:23
  • Merci, c'est exactement ce que j'ai fait, et malheureusement cela ne tient pas compte de l'Ou et cela s'applique sur toutes les GPOs.
    je suis entrain de le tester. On n'est pas loin je pense :) je te tiens au courant.

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 20 avril 2017 15:53
    Auteur de réponse
  • Merci, c'est exactement ce que j'ai fait, et malheureusement cela ne tient pas compte de l'Ou et cela s'applique sur toutes les GPOs.

    Essayer de tester ce code , le mettre dans un fichier.ps1 et l’exécuter:

    $GUIDRegex = "{[a-zA-Z0-9]{8}[-][a-zA-Z0-9]{4}[-][a-zA-Z0-9]{4}[-][a-zA-Z0-9]{4}[-][a-zA-Z0-9]{12}}"  
    $LinkedGPOs = Get-ADOrganizationalUnit -Filter * -SearchBase "OU=test,DC=lab,DC=test"} | select -ExpandProperty LinkedGroupPolicyObjects   
    foreach($LinkedGPO in $LinkedGPOs) {            
        $result = [Regex]::Match($LinkedGPO,$GUIDRegex);            
        if($result.Success) {            
            $GPOGuid = $result.Value.TrimStart("{").TrimEnd("}")            
             Set-GPPermissions -Guid $GPOGuid -TargetName "test2" -TargetType Group -PermissionLevel GpoEditDeleteModifySecurity        
        }            
                
    }
    
    #OU=test,DC=lab,DC=test c'est l'OU parent et test2 le nom groupe de la sécurité en question


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 20 avril 2017 16:46
    Auteur de réponse