In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.
Siehe: Supported Configurations for Configuration Manager
Benutzer und Gruppen anlegen
- Als Administrator an DC1 anmelden
- Server Manager > Tools > Active Directory Users and Computers
- Folgende Benutzerkonten anlegen:
- Folgende Gruppen anlegen
Group Managed Service Account erstellen
Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.
- PowerShell (Admin) starten
- Mit folgendem Befehl das Dienstkonto erstellen
New-ADServiceAccount -Name gMSA-SQL ` -DNSHostName cm1.intern.einfaches-netzwerk.at ` -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL ` -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
- CM1 neu starten und als Administrator anmelden
- PowerShell (Admin) starten
- Mit folgenden Befehlen das Dienstkonto installieren
Add-WindowsFeature -Name RSAT-AD-Tools Install-ADServiceAccount -Identity gMSA-SQL
- Alle Fenster schließen
CM_DJ auf die OU Arbeitsstationen berechtigen
- Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
- Delegation of Control Wizard
Den Container System Management anlegen und berechtigen
- Server Manager > Tools > ADSI Edit
- Den Ordner CN=System rechts anklicken > New… > Object
- Create Object
- ADSI Edit schließen
- In der ADUC-Konsole unter View > Advanced Features aktivieren
- Den Container System\System Management rechts anklicken > Delegate Control…
- Delegation of Control Wizard
- Alle Fenster schließen
Fertig mit ConfigMgr-Benutzer und Gruppen anlegen und berechtigen. Im nächsten Teil werde ich die notwendigsten Gruppenrichtlinien-Einstellungen konfigurieren.