6
Computer automatisiert einer Gruppe hinzufügen
Hallo zusammen,
es gibt bei uns im AD zwei Gruppen, denen wir unsere Computer (je nach Bereich) automatisiert zuordnen wollen.
Dafür habe ich ein VB-Script geschrieben. Das Script selber funktioniert auch, beim Ausführen des Scripts wird der Rechner in die passende AD-Gruppe aufgenommen.
Wenn ich nun dieses VB-Script als Start-Script in einem GPO hinterlege, wird der Rechner aber leider nicht in die Gruppe aufgenommen. Das GPO selbst wird verarbeitet, das konnte ich über "gpresult /r" sehen. Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Ich hab das GPO-Logging am Client aktiviert, konnte dort aber keine Fehlermeldungen diesbezüglich sehen.
Hatte jemand vielleicht schon so eine Anforderung und konnte das irgendwie umsetzen?
Vielen Dank schonmal für alle Antworten.
viele Grüße
Tobi
es gibt bei uns im AD zwei Gruppen, denen wir unsere Computer (je nach Bereich) automatisiert zuordnen wollen.
Dafür habe ich ein VB-Script geschrieben. Das Script selber funktioniert auch, beim Ausführen des Scripts wird der Rechner in die passende AD-Gruppe aufgenommen.
Wenn ich nun dieses VB-Script als Start-Script in einem GPO hinterlege, wird der Rechner aber leider nicht in die Gruppe aufgenommen. Das GPO selbst wird verarbeitet, das konnte ich über "gpresult /r" sehen. Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Ich hab das GPO-Logging am Client aktiviert, konnte dort aber keine Fehlermeldungen diesbezüglich sehen.
Hatte jemand vielleicht schon so eine Anforderung und konnte das irgendwie umsetzen?
Vielen Dank schonmal für alle Antworten.
viele Grüße
Tobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 357241
Url: https://administrator.de/contentid/357241
Printed on: April 19, 2024 at 22:04 o'clock
6 Comments
Latest comment
Hi,
Du könntest der Gruppe "Domänen-Computer" das Recht zum Verwalten der Gruppenmitgliedschaft für diese beiden Gruppen erteilen.
Oder einfach auf einem DC eine Geplante Aufgabe unter "LocalSystem" laufen lassen, welche regelmäßig (Interval musst Du bestimmen) die Computer nach einem bestimmten Kriterium (ich vermute mal OU) den Gruppen zuordnet.
E.
Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Das ist mit Sicherheit so, wenn Du das nicht explizit erlaubt hast.Du könntest der Gruppe "Domänen-Computer" das Recht zum Verwalten der Gruppenmitgliedschaft für diese beiden Gruppen erteilen.
Oder einfach auf einem DC eine Geplante Aufgabe unter "LocalSystem" laufen lassen, welche regelmäßig (Interval musst Du bestimmen) die Computer nach einem bestimmten Kriterium (ich vermute mal OU) den Gruppen zuordnet.
E.
Oder als weitere Idee, am DC das AD-Auditing aktivieren und beim Hinzufügen eines Computer-Objektes in einer bestimmten OU im Eventlog ein Skript triggern lassen welches den Computer zur Gruppe hinzufügt.
Den Computer selbst wollte ich das persönlich nicht machen lassen wollen, ist zwar Machbar mit Zuweisung der Berechtigung wie @emeriks schon nannte, aber nicht gerade best practice.
Den Computer selbst wollte ich das persönlich nicht machen lassen wollen, ist zwar Machbar mit Zuweisung der Berechtigung wie @emeriks schon nannte, aber nicht gerade best practice.
Hallo,
Computer Startup Skript?
Was steht in diesem Skript alles drin?
Mal per Skript ein Log befüllt und nachgeschaut was denn dort zu diesem Zeitpunkt passiert, welche Variablen existieren usw., wo das Skript nun steht und so? Das Log erstmal Lokal speichern, danach kannst du es im LAN auf einer Freigabe (erreichbar für dein Skript) ablegen lassen.
Genügend Rechte um das anzuwenden was du willst?
Interaktion mit den Desktop nötig?
Gruß,
Peter
Computer Startup Skript?
Was steht in diesem Skript alles drin?
Mal per Skript ein Log befüllt und nachgeschaut was denn dort zu diesem Zeitpunkt passiert, welche Variablen existieren usw., wo das Skript nun steht und so? Das Log erstmal Lokal speichern, danach kannst du es im LAN auf einer Freigabe (erreichbar für dein Skript) ablegen lassen.
Genügend Rechte um das anzuwenden was du willst?
Interaktion mit den Desktop nötig?
Gruß,
Peter
Es ist wie emeriks sagt.. wenn man in den Eigenschaften der AD-Gruppe die "Domänencomputer" als schreibberechtigt hinzufügt, funktioniert das Aufnehmen in die AD-Gruppe.
Mahlzeit.
Sofern das nicht als Startup-Skript laufen muss, wäre das hier (musste noch anpassen) eine denkbare Alternative:
https://www.windowspro.de/script/shadow-groups-active-directory-verwalte ...
Cheers,
jsysde
Sofern das nicht als Startup-Skript laufen muss, wäre das hier (musste noch anpassen) eine denkbare Alternative:
https://www.windowspro.de/script/shadow-groups-active-directory-verwalte ...
Cheers,
jsysde
vielen Dank für die Hinweise! Wir werden es jetzt mit dem Startskript innerhalb des GPO lösen. Das macht für unsere Anforderungen am meisten Sinn.
