AD:t och group policies

[shark2]

På jobbet har vi en Windows 2000 domän. Vi kan kalla den domain.local.

 

Under domain.local har vi utöver de medföljande OU:na även OU:na TJO, TUT och PIP. Dessa OU:s har i sin tur en rad OU:s under sig.

 

Tanken är att vissa personer ska vara administratörer för TJO, andra för TUT och vissa för PIP. Ingen av dessa ska dock vara en domain admin och ska alltså inte tex kunna sätta en group policy för hela domänen domain.local. Däremot ska de kunna lägga till, editera och skapa egna group policies i sina respektive OU:s (TJO, TUT och PIP). Hur löser man detta?

 

Det närmsta vi kommit är att man kan låta personer lägga till en tidigare skapad group policy på en OU. Det går alltså inte att skapa nya group policies eller editera de som redan finns. För att göra detta måste låta alla som vill göra group policies bli domain admins, vilket inte är ett alternativ för oss.

 

Jag hoppas verkligen att någon har en lösning på detta problem. Det spelar ingen roll hur omständig och knölig lösningen är, bara den fungerar tillfredsställande och så länge det inte innebär att man blir en domain admin.

[Mean]

Dit problem kan ligga i att dessa anvädnare inte har rättiheter till mappen som policie filen lagras i.

 

Om det inte hjälper at ge dem dessa rättigheter så kan du slå på audit på rättigheter så får du i loggarna upp exakt vart de blir stypta av systemet .

 

-------------------------------------------------

Den som är riktigt smart inser att han är riktigt korkad.

 

[shark2]

Och var skulle en sådan fil ligga om den nu ens existerar, vilket jag betvivlar att den gör?

 

[Clercon]

Filen (som faktiskt existerar) finns under mappen %SystemRoot%\SYSVOL\sysvol\\Policies

;-)

 

[celeron]

För att kunna editera en befintlig GPO som finns så går du in på GPO väljer properties och security. lägg till användaren som ska kuna editera detta befintliga objekt. ge read och write rättighet.

 

För att kunna skapa egna GPO så måste användaren finnas med i create GPO gruppen finns under userOU(tror jag annars får du leta)

 

för att kunna länka in GPO så kör guiden Delegate control på OU:et som det gäller och välj valet där det står typ... manage GPO object.

 

Dessa är de tre olika delarna för att kunna göra det som du efterfrågar utan att ge användaren domain admin rättighter.

 

[Mean]

Klart att det sparas i en fil. hur tror du att datorn sparar information i en konservburk kanske ;> . Policies sparas som en fil i klartext så du kan skapa dessa med notpad om du vill ( vilket jag inte rekomenderar om du inte vet precis vad du gör)

 

[shark2]

Tack celeron för ditt svar! Det var till stor hjälp. Det var just det där med Group Policy Creator Owners som jag inte kände till och inte riktigt visste hur det fungerade, men efter att ha testat lite grann i vår testmiljö så har jag kommit fram till en lösning. Mycket tack som sagt!

 

[shark2]

Mean:

Jag trodde att informationen kanske sparades i något form av register, någon större fil, innehållande en jävla massa annan information och då känner man sig inte så sugen på att vara allt för frikostig med rättigheterna. Microsoft brukar ju gärna vilja baka ihop saker och ting, så att varje policy skulle vara en egen liten fil trodde jag inte riktigt på. Men även den bäste kan ha fel - uppenbarligen

 

[Mean]

Det kan vara lite knepigt att hitta rätt fil. Ett trix jag använt är att gå in unde logonscript och välja läggtill. Då får du upp en ruta som du kan bläddra i mapparna med. Här kan du se det unika mappnamnet (ett unikt id) till just din policie. Kanske fins ett bättre sätt...

 

Pass på också om du skapar en policie på en dator med svenskt os så kan filerna bli på svenska. Kan bli lite förvirrande.

[inlägget ändrat 2002-08-29 15:10:53 av Mean]