10
GPO-Delegation mit Powershell setzten
Hallo zusammen,
in einer GPO-Delegierung habe ich eine Gruppe erstellt die dafür sorgen soll das auf bestimmte Benutzer die GPO nicht wirken soll.
Hierzu ist es ja bekanntlich möglich unter dem Reiter "Delegierung" -> "Erweitert..." die Sicherheitseinstellungen dieser Gruppe im Detail zu Berechtigungen.
In meinen Fall wäre es "Gruppenrichtline übernehmen" -> "Verweigern"
Wie ich in Erfahrung bringen konnte, ist Set-GPPermissions nicht die Lösung da die Paramter es so nicht hergeben.
Genau das möchte ich mit PS umsetzten nur komme nicht wirklich weiter. Vielleicht suche ich auch verkehrt.
Für Tipps wäre ich sehr dankbar.
Grüße
in einer GPO-Delegierung habe ich eine Gruppe erstellt die dafür sorgen soll das auf bestimmte Benutzer die GPO nicht wirken soll.
Hierzu ist es ja bekanntlich möglich unter dem Reiter "Delegierung" -> "Erweitert..." die Sicherheitseinstellungen dieser Gruppe im Detail zu Berechtigungen.
In meinen Fall wäre es "Gruppenrichtline übernehmen" -> "Verweigern"
Wie ich in Erfahrung bringen konnte, ist Set-GPPermissions nicht die Lösung da die Paramter es so nicht hergeben.
Genau das möchte ich mit PS umsetzten nur komme nicht wirklich weiter. Vielleicht suche ich auch verkehrt.
Für Tipps wäre ich sehr dankbar.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 494156
Url: https://administrator.de/contentid/494156
Printed on: April 18, 2024 at 23:04 o'clock
10 Comments
Latest comment
Hi,
erster Treffer bei Kugel.
Schau mal die Lösung, ob es Dir weiterhilft.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/dd09ace0 ...
E.
erster Treffer bei Kugel.
Schau mal die Lösung, ob es Dir weiterhilft.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/dd09ace0 ...
E.
Jo danke....Kollege hatte den gleichen Artikel gefunden 
Werd ich mal testen.
Danke!!
Werd ich mal testen.
Danke!!
Hallo nochmal,
hat ganz gut funktioniert. Die Gruppe soll noch die Berechtigung "Lesen" bekommen.
Ist es möglich beim binzufügen der Gruppe für die GPO-Delegierungen mehrere Rechte parallel zu setzten?
Kenne mich noch mit den Klassen nicht aus und die Dokus sind für mich noch recht verwirrend.
Vielen Dank!
hat ganz gut funktioniert. Die Gruppe soll noch die Berechtigung "Lesen" bekommen.
Ist es möglich beim binzufügen der Gruppe für die GPO-Delegierungen mehrere Rechte parallel zu setzten?
Kenne mich noch mit den Klassen nicht aus und die Dokus sind für mich noch recht verwirrend.
Vielen Dank!
Standardmäßig sollten doch die "Authentifizierte Benutzer" schon Lese-Rechte haben. Das sollte dann reichen.
Sonst:
Dafür kannst Du dann wieder Set-GPPermission nehmen.
Dafür kannst Du dann wieder Set-GPPermission nehmen.
Set-GPPermission -Name TestGpo -TargetName "Domain Users" -TargetType Group -PermissionLevel GpoRead
Das geht leider nicht. Hier wird dann die Berechtigung "Gruppenrichtlinen Anwenden" -> "Verweigern" rausgenommen und nur "Lesen" ist drin. Wird also überschrieben.
Umgekehrt beim ausführen des Skripts wird ein Objekt in den Delegirungen erzeugt, dann das "Lesen"-Recht entfernt, und fügt daraufhin "Gruppenrichtlinen Anwenden" -> "Verweigern" hinzu.
Andere Idee?
Umgekehrt beim ausführen des Skripts wird ein Objekt in den Delegirungen erzeugt, dann das "Lesen"-Recht entfernt, und fügt daraufhin "Gruppenrichtlinen Anwenden" -> "Verweigern" hinzu.
Andere Idee?
Eine Frage der Reihenfolge.
Erst das Set-GPPermission mit GpoRead für die betreffende Gruppe.
Dann die ACL bearbeiten und die Verweiger-Regel für die betreffende Gruppe setzen.
Erst das Set-GPPermission mit GpoRead für die betreffende Gruppe.
Dann die ACL bearbeiten und die Verweiger-Regel für die betreffende Gruppe setzen.
Zitat von @SunnyRainyDay:
Umgekehrt beim ausführen des Skripts wird ein Objekt in den Delegirungen erzeugt, dann das "Lesen"-Recht entfernt, und fügt daraufhin "Gruppenrichtlinen Anwenden" -> "Verweigern" hinzu.
Nein. Wie kommst Du darauf?Umgekehrt beim ausführen des Skripts wird ein Objekt in den Delegirungen erzeugt, dann das "Lesen"-Recht entfernt, und fügt daraufhin "Gruppenrichtlinen Anwenden" -> "Verweigern" hinzu.
Zitat von @emeriks:
Eine Frage der Reihenfolge.
Erst das Set-GPPermission mit GpoRead für die betreffende Gruppe.
Dann die ACL bearbeiten und die Verweiger-Regel für die betreffende Gruppe setzen.
Eine Frage der Reihenfolge.
Erst das Set-GPPermission mit GpoRead für die betreffende Gruppe.
Dann die ACL bearbeiten und die Verweiger-Regel für die betreffende Gruppe setzen.
Auch der Tip ging ins leere. Hier ist des recht "Verweigert" weg und "Lesen" ist drin. Hab noch was weiter getestet. Hab eine GPO händisch in die Delegierungen mit Lesen-Recht hinzugefügt . Wenn ich nun den Befehl "New-object......." absetzte wird dieser ignoriert. Das Lesen-Recht ist immer vorhanden, Verweigern-Recht wird nicht gesetzt. Ist die Gruppe in der Delegierung nicht vorhanden und dann wird "New-Object..." ordnungemäß ausgeführt. Das Verweigern-Recht wird gesetzt, das Lesen-Recht ist aber weg. Daher klappts mit der Rheinfolge auch nicht.
Das ist wie´s bei mir aussieht.
Zitat von @SunnyRainyDay:
Umgekehrt beim ausführen des Skripts wird ein Objekt in den Delegirungen erzeugt, dann das "Lesen"-Recht entfernt, und fügt daraufhin "Gruppenrichtlinen Anwenden" -> "Verweigern" hinzu.
Nein. Wie kommst Du darauf?Umgekehrt beim ausführen des Skripts wird ein Objekt in den Delegirungen erzeugt, dann das "Lesen"-Recht entfernt, und fügt daraufhin "Gruppenrichtlinen Anwenden" -> "Verweigern" hinzu.
naja...wenn "Authentifizierte Benutzer" grundsätzlich Lesen-Recht haben es nach den ausführen des "New-Object" das Lesen-Recht nicht mehr vorhanden ist dann könnte man schlussfolgern das es beim hinzufügen der Gruppe NUR das "Verweigern-Recht" gesetzt wird. Denn dort wird ja nur die "Eigenschaft" Deny angegeben. Von Lese-Recht ist in dem Syntax nicht Rede. Daher war ja die Frage ob es möglich ist in die New-Object Zeile auch Read-Allow-Recht hinzufügen.
Das ist so mein Denke.
Danke nochmals!
EInfach die zusätzliche Regel als Access Rule hinzufügen, feddich. Getestet, funktioniert wenn ich dich da richtig verstanden habe, war etwas durcheinander deine Beschreibungen und Antworten.
https://docs.microsoft.com/de-de/dotnet/api/system.directoryservices.act ...
$gpo = Get-GPO -Name testgpo
$adgpo = [ADSI]"LDAP://CN=`{$($gpo.Id.guid)`},CN=Policies,CN=System,DC=domain,DC=tld"
$rule_deny = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
[System.Security.Principal.NTAccount]"DOMAIN\Gruppe",
"ExtendedRight",
"Deny",
[Guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939"
)
$rule_read = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
[System.Security.Principal.NTAccount]"DOMAIN\Gruppe",
"GenericRead",
"Allow"
)
$acl = $adgpo.ObjectSecurity
$acl.AddAccessRule($rule_deny)
$acl.AddAccessRule($rule_read)
$adgpo.CommitChanges()Zitat von @SunnyRainyDay:
Auch der Tip ging ins leere. Hier ist des recht "Verweigert" weg und "Lesen" ist drin. Hab noch was weiter getestet. Hab eine GPO händisch in die Delegierungen mit Lesen-Recht hinzugefügt . Wenn ich nun den Befehl "New-object......." absetzte wird dieser ignoriert. Das Lesen-Recht ist immer vorhanden, Verweigern-Recht wird nicht gesetzt. Ist die Gruppe in der Delegierung nicht vorhanden und dann wird "New-Object..." ordnungemäß ausgeführt. Das Verweigern-Recht wird gesetzt, das Lesen-Recht ist aber weg. Daher klappts mit der Rheinfolge auch nicht.
Das ist wie´s bei mir aussieht.
naja...wenn "Authentifizierte Benutzer" grundsätzlich Lesen-Recht haben es nach den ausführen des "New-Object" das Lesen-Recht nicht mehr vorhanden ist dann könnte man schlussfolgern das es beim hinzufügen der Gruppe NUR das "Verweigern-Recht" gesetzt wird. Denn dort wird ja nur die "Eigenschaft" Deny angegeben. Von Lese-Recht ist in dem Syntax nicht Rede. Daher war ja die Frage ob es möglich ist in die New-Object Zeile auch Read-Allow-Recht hinzufügen.
Das ist so mein Denke.
Auch der Tip ging ins leere. Hier ist des recht "Verweigert" weg und "Lesen" ist drin. Hab noch was weiter getestet. Hab eine GPO händisch in die Delegierungen mit Lesen-Recht hinzugefügt . Wenn ich nun den Befehl "New-object......." absetzte wird dieser ignoriert. Das Lesen-Recht ist immer vorhanden, Verweigern-Recht wird nicht gesetzt. Ist die Gruppe in der Delegierung nicht vorhanden und dann wird "New-Object..." ordnungemäß ausgeführt. Das Verweigern-Recht wird gesetzt, das Lesen-Recht ist aber weg. Daher klappts mit der Rheinfolge auch nicht.
Das ist wie´s bei mir aussieht.
naja...wenn "Authentifizierte Benutzer" grundsätzlich Lesen-Recht haben es nach den ausführen des "New-Object" das Lesen-Recht nicht mehr vorhanden ist dann könnte man schlussfolgern das es beim hinzufügen der Gruppe NUR das "Verweigern-Recht" gesetzt wird. Denn dort wird ja nur die "Eigenschaft" Deny angegeben. Von Lese-Recht ist in dem Syntax nicht Rede. Daher war ja die Frage ob es möglich ist in die New-Object Zeile auch Read-Allow-Recht hinzufügen.
Das ist so mein Denke.
Ich glaube, mein Sprachprozessor ist gerade abgestürzt ....
Geht es um nur eine GPO? Dann mache es doch manuell ohne PowerShell. Das geht dann viel einfacher.
Und - es funktioniert. Wenn bei Dir nicht, dann liegt es an Dir, dann machst Du was falsch.
