Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. Folgende Benutzerkonten anlegen:
    1. CM_CP, ConfigMgr 2016 TP Client Push
    2. CM_DJ, ConfigMgr 2016 TP Domain Join
    3. CM_NA, ConfigMgr 2016 TP Network Access
      CM-022
  4. Folgende Gruppen anlegen
    1. Allow-gMSA-SQL
      1. Members: CM1
        CM-023
    2. ConfigMgr Administrators
      1. Members: Administrators, USER1
        CM-004
    3. ConfigMgr Servers
      1. Members: CM1
        CM-018
    4. LocalAdmins
      1. Members: CM_CP
        CM-005
    5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen
      CM-006

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

  1. PowerShell (Admin) starten
  2. Mit folgendem Befehl das Dienstkonto erstellen
    New-ADServiceAccount -Name gMSA-SQL `
        -DNSHostName cm1.intern.einfaches-netzwerk.at `
        -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
        -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
  3. CM1 neu starten und als Administrator anmelden
  4. PowerShell (Admin) starten
  5. Mit folgenden Befehlen das Dienstkonto installieren
    Add-WindowsFeature -Name RSAT-AD-Tools
    Install-ADServiceAccount -Identity gMSA-SQL

    CM-008

  6. Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

  1. Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > CM_DJ > Next
      CM-009
    3. Tasks to delegate
      1. Create a custom task to delegate > Next
    4. Active Directory Object Type
      1. Only the following objects in the folder: Computer
      2. Create selected objects in this folder
      3. Delete selected objects in this folder > Next
        CM-010
    5. Permissions
      1. Read
      2. Write
      3. Read All Properties
      4. Write All Properties
      5. Change Password
      6. Reset Password
      7. Validated write to DNS host name
      8. Validated write to service principal name > Next
        CM-011
    6. Finish
      CM-012

Den Container System Management anlegen und berechtigen

  1. Server Manager > Tools > ADSI Edit
  2. Den Ordner CN=System rechts anklicken > New… > Object
    CM-014
  3. Create Object
    1. Select a class: container > Next
      CM-015
    2. Vaule: System Management > Next
      CM-016
  4. ADSI Edit schließen
    CM-017
  5. In der ADUC-Konsole unter View > Advanced Features aktivieren
    CM-013
  6. Den Container System\System Management rechts anklicken > Delegate Control…
  7. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > ConfigMgr Servers > Next
    3. Tasks to delegate
      1. Create a custom task to delegate > Next
    4. Active Directory Object Type > Next
      CM-019
    5. Permissions: Full Control > Next > Finish
      CM-020
  8. Alle Fenster schließen
    CM-021

Fertig mit ConfigMgr-Benutzer und Gruppen anlegen und berechtigen. Im nächsten Teil werde ich die notwendigsten Gruppenrichtlinien-Einstellungen konfigurieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert