Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

dynamische Gruppen auf GPOs berechtigen oder Gruppen in Gruppen aufnehmen per Kommandozeile

Mitglied: jschneider

jschneider (Level 1) - Jetzt verbinden

20.02.2008 um 10:30 Uhr, 4247 Aufrufe

Hallo,

ich suche einen Ansatz - erkläre aber erstmal die Ausgangssituation

1. Ich habe eine Funktion erstellt, mit der sich ein Benutzer zum lokalen Administrator auf einem ClientPC innerhalb eines AD's machen kann. das funktioniert so:
- Ein benutzer "UserA" wird in die AD-Gruppe "potential Lokal Admins" hinzugefügt.
- sobald sich ein benutzer anmeldet der in der Gruppe "potential Lokal Admins" Mitglied ist erhält er ein Icon, welches ein Script startet. Dieses Script liegt auf einem Share auf welches auch nur die "potential Lokal Admins" Zugriff haben.
- Dieses Script legt mit einem "RunAs"-derivat im AD eine Gruppe an die NUR für diesen PC gilt "Grp_Lokaladmin_PCNAME, nimmt den Scriptausführenden benutzer in diese Gruppe auf und fügt die AD-Gruppe "Grp_Lokaladmin_PCNAME" auf dem lokalen PC in die Lokalen Administratoren hinzu.
- Nach der nächsten anmeldung verfügt der User über lokale adminrechte.

Soweit ganz gut .. das funktioniert auch bestens

Der Sinn hinter dieser methode ist, dass nicht automatisch benutzer zu lokalen Admins gemacht werden (sondern nur bei bedarf) und die User auch wirklich nur auf Ihren PC's lokaler Admin sind und nicht auch automatisch auf anderen PC's

Jetzt komme ich zu meinem Prolem:
Für die Mitglieder der dynamisch angelegten Gruppen "Grp_Lokaladmin_PCNAME" soll eine bestimmte Gruppenrichtlinie angewandt werden. Da ich dynamisch keine Delegierung all dieser Gruppen vornehme habe ich eine Übergeordnete Gruppe erzeigt "Grp_alleLokaleAdmins" und diese Gruppe auf die GPO berechtigt.

Was mir jetzt zu meinem Glück noch fehlt ist, dass im Zuge des Anlegens der "Grp_Lokaladmin_PCNAME" diese Gruppe auch gleichzeitig in die Gruppe "Grp_alleLokaleAdmins" hinzugefüht wird, damit über diese Gruppe die GPO gezogen wird.

"net group" kann m.E. keine Gruppen in Gruppen aufnehmen, sondern nur Gruppen in lokale Gruppen oder Benutzer in globale oder lokale Gruppen.

hat hier nicht wer einen Ansatz oder ein Tool um Gruppen in Gruppen aufzunehmen ?
"dsadd" funktioniert leider nur auf einem DC, und nicht von Client aus.

Berechtigungen sind nicht zwingend wichtig, da ich mit CPAU solche Tasks mit erhöhten Berechtigungen ausführen kann.

Ich könnte zwar auf dem DC einen Task installieren, der mir mit dsadd diese aufgabe durchführt aber lieber wäre mir erstmal der andere Weg.


Vielen dank fürs lesen, mitdenken und posten


jan
Ähnliche Inhalte
Exchange Server

Exchange dynamische Verteilergruppe aus Mitgliedern einer AD Gruppe erstellen

gelöst Frage von blackhawk17Exchange Server7 Kommentare

Hallo zusammen, ich möchte gerne eine neue dynamische Verteilergruppe erstellen. Diese soll alle Mitglieder einer AD Sicherheitsgruppe enthalten. Die ...

Batch & Shell

Dateien Berechtigen mit übersetzungtabelle

gelöst Frage von UnbekannterNR1Batch & Shell3 Kommentare

Hallo, Ich ein kleines Problem und komme nicht weiter. Ich habe eine Haufen Dateien auf die ich Berechtigen möchte ...

Windows Userverwaltung

User im "kaputtem" Filesystem berechtigen

gelöst Frage von ArnoNymousWindows Userverwaltung5 Kommentare

Hallo Leute, Ich habe hier ein ziemlich großes, historisch gewachsenes Filesystem mit vielen Unterordner-Strukturen. Das Ganze wurde bisher ohne ...

Windows Server

SharePoint 2010: Account berechtigen ALLES nur LESEN zu können

Frage von peterhaWindows Server

Moin zusammen, ich möchte gern, dass ein AD-Account im SharePoint alle Dokumente/Seiten/etc. lesen kann. Dabei gibt es auch Elemente, ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 2 TagenAusbildung35 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 4 TagenSpeicherkarten5 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 4 TagenSicherheit1 Kommentar

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 5 TagenHardware4 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
Frage von Looser27Windows Userverwaltung27 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

Windows Server
Probleme im AD am Außenstandort
gelöst Frage von emeriksWindows Server19 Kommentare

Hi, wir haben ein Problem mit AD und GPO am Außenstandort und ich stehe momentan mächtig auf dem Schlauch. ...

Switche und Hubs
POE-Switche
gelöst Frage von MiStSwitche und Hubs13 Kommentare

Guten Morgen, ich überlege ob ich in unserem Netzwerk die aktuellen Switche (D-LINK DGS-1210-28) durch PoE-Switche ersetzen soll. Der ...

Windows Server
DNS - Bedingte Weiterleitung
gelöst Frage von m8ichaelWindows Server11 Kommentare

Guten Tag zusammen, ich stehe gerade bzgl. einer bedingten DNS-Weiterleitung etwas auf dem Schlauch: Ich möchte, dass für bestimmte ...