Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

dynamische Gruppen auf GPOs berechtigen oder Gruppen in Gruppen aufnehmen per Kommandozeile

Mitglied: jschneider

jschneider (Level 1) - Jetzt verbinden

20.02.2008 um 10:30 Uhr, 4232 Aufrufe

Hallo,

ich suche einen Ansatz - erkläre aber erstmal die Ausgangssituation

1. Ich habe eine Funktion erstellt, mit der sich ein Benutzer zum lokalen Administrator auf einem ClientPC innerhalb eines AD's machen kann. das funktioniert so:
- Ein benutzer "UserA" wird in die AD-Gruppe "potential Lokal Admins" hinzugefügt.
- sobald sich ein benutzer anmeldet der in der Gruppe "potential Lokal Admins" Mitglied ist erhält er ein Icon, welches ein Script startet. Dieses Script liegt auf einem Share auf welches auch nur die "potential Lokal Admins" Zugriff haben.
- Dieses Script legt mit einem "RunAs"-derivat im AD eine Gruppe an die NUR für diesen PC gilt "Grp_Lokaladmin_PCNAME, nimmt den Scriptausführenden benutzer in diese Gruppe auf und fügt die AD-Gruppe "Grp_Lokaladmin_PCNAME" auf dem lokalen PC in die Lokalen Administratoren hinzu.
- Nach der nächsten anmeldung verfügt der User über lokale adminrechte.

Soweit ganz gut .. das funktioniert auch bestens

Der Sinn hinter dieser methode ist, dass nicht automatisch benutzer zu lokalen Admins gemacht werden (sondern nur bei bedarf) und die User auch wirklich nur auf Ihren PC's lokaler Admin sind und nicht auch automatisch auf anderen PC's

Jetzt komme ich zu meinem Prolem:
Für die Mitglieder der dynamisch angelegten Gruppen "Grp_Lokaladmin_PCNAME" soll eine bestimmte Gruppenrichtlinie angewandt werden. Da ich dynamisch keine Delegierung all dieser Gruppen vornehme habe ich eine Übergeordnete Gruppe erzeigt "Grp_alleLokaleAdmins" und diese Gruppe auf die GPO berechtigt.

Was mir jetzt zu meinem Glück noch fehlt ist, dass im Zuge des Anlegens der "Grp_Lokaladmin_PCNAME" diese Gruppe auch gleichzeitig in die Gruppe "Grp_alleLokaleAdmins" hinzugefüht wird, damit über diese Gruppe die GPO gezogen wird.

"net group" kann m.E. keine Gruppen in Gruppen aufnehmen, sondern nur Gruppen in lokale Gruppen oder Benutzer in globale oder lokale Gruppen.

hat hier nicht wer einen Ansatz oder ein Tool um Gruppen in Gruppen aufzunehmen ?
"dsadd" funktioniert leider nur auf einem DC, und nicht von Client aus.

Berechtigungen sind nicht zwingend wichtig, da ich mit CPAU solche Tasks mit erhöhten Berechtigungen ausführen kann.

Ich könnte zwar auf dem DC einen Task installieren, der mir mit dsadd diese aufgabe durchführt aber lieber wäre mir erstmal der andere Weg.


Vielen dank fürs lesen, mitdenken und posten


jan
Ähnliche Inhalte
Exchange Server

Exchange dynamische Verteilergruppe aus Mitgliedern einer AD Gruppe erstellen

gelöst Frage von blackhawk17Exchange Server7 Kommentare

Hallo zusammen, ich möchte gerne eine neue dynamische Verteilergruppe erstellen. Diese soll alle Mitglieder einer AD Sicherheitsgruppe enthalten. Die ...

Batch & Shell

Dateien Berechtigen mit übersetzungtabelle

gelöst Frage von UnbekannterNR1Batch & Shell3 Kommentare

Hallo, Ich ein kleines Problem und komme nicht weiter. Ich habe eine Haufen Dateien auf die ich Berechtigen möchte ...

Windows Userverwaltung

User im "kaputtem" Filesystem berechtigen

gelöst Frage von ArnoNymousWindows Userverwaltung5 Kommentare

Hallo Leute, Ich habe hier ein ziemlich großes, historisch gewachsenes Filesystem mit vielen Unterordner-Strukturen. Das Ganze wurde bisher ohne ...

Windows Server

SharePoint 2010: Account berechtigen ALLES nur LESEN zu können

Frage von peterhaWindows Server

Moin zusammen, ich möchte gern, dass ein AD-Account im SharePoint alle Dokumente/Seiten/etc. lesen kann. Dabei gibt es auch Elemente, ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 2 TagenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)10 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server21 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server18 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools14 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...