Administration von Gruppenrichtlinien an Benutzer delegieren

    Kostenloser Ratgeber: Sicherheit mit Gruppenrichtlinien. Tipps zum Einsatz von GPOs, Sicherheits-Features aktivieren, Funktionen blockieren. Download »

    (Anzeige)

    Delegierung der GPO-AdministrationIn größeren Netz­werken mit vielen Clients und Servern sind Gruppen­richt­linien ein unab­kömm­liches Instru­ment für das System-Manage­ment. Gleich­zeitig besteht gerade dort häufig der Wunsch, dass die Ver­waltung von GPOs nicht nur Adminis­tratoren vorbe­halten bleibt, sondern an andere Benutzer über­tragen werden kann. Über die Gruppen­richtl­inienv­erwaltung (GPMC) lassen sich die nötigen Rechte delegieren.

    Neben den Administratoren einer Domäne haben standardmäßig die Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer das Recht, Gruppenrichtlinien zu erstellen. Möchte man Benutzer oder Gruppen dazu befähigen, selbst GPOs anzulegen, dann führt also ein Weg über ihre Aufnahme in die Gruppe Richtlinien-Ersteller-Besitzer.

    Rechte-Delegierung an User von außerhalb der Domäne

    Seit der Einführung der Gruppenrichtlinienverwaltung bestehen jedoch noch weitere und feiner abgestimmte Möglichkeiten, Rechte zum Management der GPOs zu delegieren. So können nun auch andere Gruppen oder auch einzelne User mit diesen Privilegien ausgestattet werden, darunter auch solche von außerhalb der betreffenden Domäne.

    Standardmäßig haben Mitglieder der Gruppen Domänen-Admins und Richtlinien-Ersteller-Besitzer das Recht, neue GPOs anzulegen.

    Zu diesem Zweck öffnet man den Ordner Gruppenrichtlinienobjekte unterhalb der jeweiligen Domäne. Unter dem Reiter Delegierung findet sich eine Liste aller Gruppen und Benutzer, die das Recht zum Erstellen von GPOs haben. Über die Schaltfläche Hinzufügen kann weiteren Usern dieses Privileg gewährt werden.

    Bearbeitung fremder GPOs als eigenes Recht

    Egal auf welche Weise ein Benutzer das Recht erhält, GPOs zu erstellen, er darf anschließend nur jene bearbeiten oder löschen, die er selbst angelegt hat. Verwehrt bleibt ihm somit die Möglichkeit, bereits vorhandene Gruppenrichtlinien zu verändern oder generell GPOs mit einem AD-Container zu verknüpfen. Für diese Aufgaben müssen Benutzer separat autorisiert werden.

    Das Recht für den Zugriff auf GPOs, die von anderen Benutzern angelegt wurden, reicht vom bloßen Lesen bis zur vollen Kontrolle.

    Um GPOs bearbeiten zu können, die von anderen Benutzern angelegt wurden, kann der Administrator für jede einzelne Gruppenrichtlinie die nötigen Rechte vergeben. Zu diesem Zweck wählt man in der linken Baumansicht das gewünschte GPO und wechselt im rechten Fenster zum Reiter Delegierung. Dort kann man weitere User oder Gruppen hinzufügen. Über ihr Kontextmenü lassen sich die Rechte Lesen, Einstellungen bearbeiten sowie Einstellungen bearbeiten, löschen, Sicherheit ändern vergeben. Ein noch feiner abgestuftes Rechte-Management lässt sich über den Dialog hinter der Schaltfläche Erweitert erreichen.

    Script für Rechteänderung bei vielen GPOs

    Möchte man Benutzer mit der Bearbeitung einer größeren Zahl vorhandener GPOs betrauen, dann ist der Weg über die Einstellung jeder einzelnen Gruppenrichtlinie zu umständlich. Die Gruppenrichtlinienverwaltung bietet für die gleichzeitige Änderung der Rechte von allen bestehenden GPOs keine Funktion. Diese Aufgabe kann jedoch das Script GrantPermissionOnAllGPOs.wsf übernehmen, das Teil der Group Policy Management Console Sample Scripts ist und die kostenlos von Microsofts Website heruntergeladen werden können.

    Verknüpfung von GPOs mit OUs als separates Privileg

    Auch das dritte Recht, die Verknüpfung eines GPO mit einem AD-Container (Site, Domäne oder OU), lässt sich an Benutzer oder Gruppen delegieren. Es ist unabhängig von den beiden bereits erwähnten Privilegien für das Erstellen und Bearbeiten von GPOs. Wer also Gruppenrichtlinien erstellen oder jene anderer Anwender verändern darf, ist noch nicht berechtigt, sie beispielsweise mit einer OU zu verbinden.

    Um das jemandem das Recht zu gewähren, GPOs mit einer Domäne oder einer OU zu verknüpfen, wählt man in der Baumansicht den gewünschten AD-Container aus und wechselt im rechten Fenster wieder zum Reiter Delegierung. Dort kann man, wenn im Drop-Down-Menü Berechtigungen der Eintrag Gruppenrichtlinienobjekte verknüpfen aktiviert ist, weitere User hinzufügen, die diese Recht erhalten sollen. Über den Button Erweitert besteht auch hier die Möglichkeit, das Verknüpfungsrecht bis ins Detail zu konfigurieren.

    1 Kommentar

    Bild von QR Track
    QR Track sagt:
    15. Oktober 2013 - 9:21

    Sehr hilfreicher Artikel zum Thema Deligierung im AD. Danke.