Administration von Gruppenrichtlinien an Benutzer delegieren

Seit der Einführung der Gruppenrichtlinienverwaltung bestehen jedoch noch weitere und feiner abgestimmte Möglichkeiten, Rechte zum Management der GPOs zu delegieren. So können nun auch andere Gruppen oder auch einzelne User mit diesen Privilegien ausgestattet werden, darunter auch solche von außerhalb der betreffenden Domäne.

Zu diesem Zweck öffnet man den Ordner Gruppenrichtlinienobjekte unterhalb der jeweiligen Domäne. Unter dem Reiter Delegierung findet sich eine Liste aller Gruppen und Benutzer, die das Recht zum Erstellen von GPOs haben. Über die Schaltfläche Hinzufügen kann weiteren Usern dieses Privileg gewährt werden.

Bearbeitung fremder GPOs als eigenes Recht

Egal auf welche Weise ein Benutzer das Recht erhält, GPOs zu erstellen, er darf anschließend nur jene bearbeiten oder löschen, die er selbst angelegt hat. Verwehrt bleibt ihm somit die Möglichkeit, bereits vorhandene Gruppenrichtlinien zu verändern oder generell GPOs mit einem AD-Container zu verknüpfen. Für diese Aufgaben müssen Benutzer separat autorisiert werden.

Um GPOs bearbeiten zu können, die von anderen Benutzern angelegt wurden, kann der Administrator für jede einzelne Gruppenrichtlinie die nötigen Rechte vergeben. Zu diesem Zweck wählt man in der linken Baumansicht das gewünschte GPO und wechselt im rechten Fenster zum Reiter Delegierung. Dort kann man weitere User oder Gruppen hinzufügen. Über ihr Kontextmenü lassen sich die Rechte Lesen, Einstellungen bearbeiten sowie Einstellungen bearbeiten, löschen, Sicherheit ändern vergeben. Ein noch feiner abgestuftes Rechte-Management lässt sich über den Dialog hinter der Schaltfläche Erweitert erreichen.

Script für Rechteänderung bei vielen GPOs

Möchte man Benutzer mit der Bearbeitung einer größeren Zahl vorhandener GPOs betrauen, dann ist der Weg über die Einstellung jeder einzelnen Gruppenrichtlinie zu umständlich. Die Gruppenrichtlinienverwaltung bietet für die gleichzeitige Änderung der Rechte von allen bestehenden GPOs keine Funktion. Diese Aufgabe kann jedoch das Script GrantPermissionOnAllGPOs.wsf übernehmen, das Teil der Group Policy Management Console Sample Scripts ist und die kostenlos von Microsofts Website heruntergeladen werden können.

Verknüpfung von GPOs mit OUs als separates Privileg

Auch das dritte Recht, die Verknüpfung eines GPO mit einem AD-Container (Site, Domäne oder OU), lässt sich an Benutzer oder Gruppen delegieren. Es ist unabhängig von den beiden bereits erwähnten Privilegien für das Erstellen und Bearbeiten von GPOs. Wer also Gruppenrichtlinien erstellen oder jene anderer Anwender verändern darf, ist noch nicht berechtigt, sie beispielsweise mit einer OU zu verbinden.

Um das jemandem das Recht zu gewähren, GPOs mit einer Domäne oder einer OU zu verknüpfen, wählt man in der Baumansicht den gewünschten AD-Container aus und wechselt im rechten Fenster wieder zum Reiter Delegierung. Dort kann man, wenn im Drop-Down-Menü Berechtigungen der Eintrag Gruppenrichtlinienobjekte verknüpfen aktiviert ist, weitere User hinzufügen, die diese Recht erhalten sollen. Über den Button Erweitert besteht auch hier die Möglichkeit, das Verknüpfungsrecht bis ins Detail zu konfigurieren.