Am vorhandenen Computerobjekt, wie bei neu Erstelleung, einer (Administrator) Gruppe zuweisen
Sehr geehrte Damen und Herren,
ok, bitte nicht abwimmeln, da ich zum Ersten, hier neu bin, zum Zweiten, meine Frage oder ähnliches schon hier erwähnt, u. ggf. auch schon gelöst wurden.
Ich möchte nur die eine Gruppe, hier im Bild, per Script bei vorhandenen Computer Objekten ergänzend zuweisen, mehr nicht. Dazu benötigen wir ein Power Shell Script.
D. H. wenn wir ein Computerobjekt beim ersten mal in AD manuell per AD Konsole erstellen, gibt es dabei die Möglichkeit eine Gruppe zuzuweisen, die bei automatischer Erstellung über ACMP OS Deployment nicht möglich ist. Das Computerobjekt bekommt dabei bestimmte Rechte von dieser Gruppe, wodurch die Mitglieder in der Gruppe mit oder an diesem Computer Objekt später auch Änderungen durchführen können, wie verschieben in andere OU's etc. Bei ACMP OS Deployment ist keine Möglichkeit vorhanden bei Computererstellung diese Gruppe zuzuweisen, es sei denn nachträglich mit einem passenden Power Shell Script
Ein Kollege, der mehrere Sprachen beherrscht, konnte mir hierzu leider nicht helfen (er hat keine Kenntnisse mit Power Shell).
Denn im ACMP gibt es die Möglichkeit Power Shell Befehle einfach einzubinden, was sehr angenehm ist.
Daher meine Bitte:
Wenn sich ein Kenner mir die notwendigen Zeilen mitteilen würde, wäre ich sehr dankbar. Ich könnte die Power Shell Zeilen im Paket einbinden.
Ich habe schon selber mir einige Mühen gemacht, einige werden sagen nicht genug etc., ok, aber leider habe ich nichts passendes gefunden.
Vorab vielen herzlichen Dank an allen, die sich die mühen machen oder nicht.
Viele Grüße
A. Senol
ok, bitte nicht abwimmeln, da ich zum Ersten, hier neu bin, zum Zweiten, meine Frage oder ähnliches schon hier erwähnt, u. ggf. auch schon gelöst wurden.
Ich möchte nur die eine Gruppe, hier im Bild, per Script bei vorhandenen Computer Objekten ergänzend zuweisen, mehr nicht. Dazu benötigen wir ein Power Shell Script.
D. H. wenn wir ein Computerobjekt beim ersten mal in AD manuell per AD Konsole erstellen, gibt es dabei die Möglichkeit eine Gruppe zuzuweisen, die bei automatischer Erstellung über ACMP OS Deployment nicht möglich ist. Das Computerobjekt bekommt dabei bestimmte Rechte von dieser Gruppe, wodurch die Mitglieder in der Gruppe mit oder an diesem Computer Objekt später auch Änderungen durchführen können, wie verschieben in andere OU's etc. Bei ACMP OS Deployment ist keine Möglichkeit vorhanden bei Computererstellung diese Gruppe zuzuweisen, es sei denn nachträglich mit einem passenden Power Shell Script
Ein Kollege, der mehrere Sprachen beherrscht, konnte mir hierzu leider nicht helfen (er hat keine Kenntnisse mit Power Shell).
Denn im ACMP gibt es die Möglichkeit Power Shell Befehle einfach einzubinden, was sehr angenehm ist.
Daher meine Bitte:
Wenn sich ein Kenner mir die notwendigen Zeilen mitteilen würde, wäre ich sehr dankbar. Ich könnte die Power Shell Zeilen im Paket einbinden.
Ich habe schon selber mir einige Mühen gemacht, einige werden sagen nicht genug etc., ok, aber leider habe ich nichts passendes gefunden.
Vorab vielen herzlichen Dank an allen, die sich die mühen machen oder nicht.
Viele Grüße
A. Senol
Please also mark the comments that contributed to the solution of the article
Content-Key: 302478
Url: https://administrator.de/contentid/302478
Printed on: April 23, 2024 at 09:04 o'clock
2 Comments
Latest comment
Hallo A.Senol, Willkommen auf Administrator.de!
Huch, so was tun wir?? Kann ich zwar persönlich nicht nachvollziehen aber OK.
[/OT]
Also, back to topic, folgendes Skript dafür sollte dir weiterhelfen:
In den ersten beiden Zeilen gibst du einmal eine OU an in der sich die Computer befinden welche du bearbeiten willst und in der zweite Variable übergibst du den Account der Gruppe welche das Recht erhalten soll an. Es werden dann die ACLs aller Computer der OU passend angepasst.
Skript wurde hier auf einem SRV2012R2 getestet.
Hoffe das hilft dir weiter.
Grüße Uwe
Falls der Beitrag gefällt, seid so nett und unterstützt mich durch eine kleine Spende / If you like my contribution please support me and donate
ok, bitte nicht abwimmeln
[OT]Huch, so was tun wir?? Kann ich zwar persönlich nicht nachvollziehen aber OK.
[/OT]
Also, back to topic, folgendes Skript dafür sollte dir weiterhelfen:
In den ersten beiden Zeilen gibst du einmal eine OU an in der sich die Computer befinden welche du bearbeiten willst und in der zweite Variable übergibst du den Account der Gruppe welche das Recht erhalten soll an. Es werden dann die ACLs aller Computer der OU passend angepasst.
Skript wurde hier auf einem SRV2012R2 getestet.
# -------------
$OU = 'ou=MeineComputer,dc=contoso,dc=com'
$GROUP = 'CONTOSO\gruppenname'
# -------------
# Account-Object erstellen
$account = new-Object System.Security.Principal.NTAccount($group)
# benötigte ACEs erstellen
$rules = @(
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'DeleteTree, ExtendedRight, Delete, GenericRead', "Allow")
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'WriteProperty','Allow','4c164200-20c0-11d0-a768-00aa006e0529','None',[guid]::Empty)
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'Self','Allow','f3a64788-5306-11d1-a9c5-0000f80367c1','None',[guid]::Empty)
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'Self','Allow','72e39547-7b18-11d1-adef-00c04fd8d5cd','None',[guid]::Empty)
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'WriteProperty','Allow','3e0abfd0-126a-11d0-a060-00aa006c33ed','None',[guid]::Empty)
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'WriteProperty','Allow','bf967953-0de6-11d0-a285-00aa003049e2','None',[guid]::Empty)
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'WriteProperty','Allow','bf967950-0de6-11d0-a285-00aa003049e2','None',[guid]::Empty)
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,'WriteProperty','Allow','5f202010-79a5-11d0-9020-00c04fc2d4cf','None',[guid]::Empty)
)
# Allen Computer-Objekten in der OU die ACEs hinzufügen
Get-ADComputer -Filter * -SearchBase $OU | %{
write-host "Bearbeite die ACLs des Computers: $($_.DistinguishedName)" -F Green
# ACL des Objekts holen
$acl = Get-ACL "AD:\$($_.DistinguishedName)"
# ACEs hinzufügen
$rules | %{$acl.AddAccessRule($_)}
# ACL zurückschreiben
$acl | Set-ACL
}
Grüße Uwe
Falls der Beitrag gefällt, seid so nett und unterstützt mich durch eine kleine Spende / If you like my contribution please support me and donate