Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

dynamische Gruppen auf GPOs berechtigen oder Gruppen in Gruppen aufnehmen per Kommandozeile

Frage Microsoft Windows Userverwaltung

Mitglied: jschneider

jschneider (Level 1) - Jetzt verbinden

20.02.2008 um 10:30 Uhr, 4147 Aufrufe

Hallo,

ich suche einen Ansatz - erkläre aber erstmal die Ausgangssituation

1. Ich habe eine Funktion erstellt, mit der sich ein Benutzer zum lokalen Administrator auf einem ClientPC innerhalb eines AD's machen kann. das funktioniert so:
- Ein benutzer "UserA" wird in die AD-Gruppe "potential Lokal Admins" hinzugefügt.
- sobald sich ein benutzer anmeldet der in der Gruppe "potential Lokal Admins" Mitglied ist erhält er ein Icon, welches ein Script startet. Dieses Script liegt auf einem Share auf welches auch nur die "potential Lokal Admins" Zugriff haben.
- Dieses Script legt mit einem "RunAs"-derivat im AD eine Gruppe an die NUR für diesen PC gilt "Grp_Lokaladmin_PCNAME, nimmt den Scriptausführenden benutzer in diese Gruppe auf und fügt die AD-Gruppe "Grp_Lokaladmin_PCNAME" auf dem lokalen PC in die Lokalen Administratoren hinzu.
- Nach der nächsten anmeldung verfügt der User über lokale adminrechte.

Soweit ganz gut .. das funktioniert auch bestens

Der Sinn hinter dieser methode ist, dass nicht automatisch benutzer zu lokalen Admins gemacht werden (sondern nur bei bedarf) und die User auch wirklich nur auf Ihren PC's lokaler Admin sind und nicht auch automatisch auf anderen PC's

Jetzt komme ich zu meinem Prolem:
Für die Mitglieder der dynamisch angelegten Gruppen "Grp_Lokaladmin_PCNAME" soll eine bestimmte Gruppenrichtlinie angewandt werden. Da ich dynamisch keine Delegierung all dieser Gruppen vornehme habe ich eine Übergeordnete Gruppe erzeigt "Grp_alleLokaleAdmins" und diese Gruppe auf die GPO berechtigt.

Was mir jetzt zu meinem Glück noch fehlt ist, dass im Zuge des Anlegens der "Grp_Lokaladmin_PCNAME" diese Gruppe auch gleichzeitig in die Gruppe "Grp_alleLokaleAdmins" hinzugefüht wird, damit über diese Gruppe die GPO gezogen wird.

"net group" kann m.E. keine Gruppen in Gruppen aufnehmen, sondern nur Gruppen in lokale Gruppen oder Benutzer in globale oder lokale Gruppen.

hat hier nicht wer einen Ansatz oder ein Tool um Gruppen in Gruppen aufzunehmen ?
"dsadd" funktioniert leider nur auf einem DC, und nicht von Client aus.

Berechtigungen sind nicht zwingend wichtig, da ich mit CPAU solche Tasks mit erhöhten Berechtigungen ausführen kann.

Ich könnte zwar auf dem DC einen Task installieren, der mir mit dsadd diese aufgabe durchführt aber lieber wäre mir erstmal der andere Weg.


Vielen dank fürs lesen, mitdenken und posten


jan
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Doppelte GPOs priorisieren oder Benutzer excluden (5)

Frage von staybb zum Thema Windows Server ...

Windows 10
gelöst GPOs werden bei Win10 nicht angewendet (8)

Frage von theoberlin zum Thema Windows 10 ...

Windows Server
Server 2012 R2 GPOs werden nicht verteilt (2)

Frage von Raffael zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...