Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD-User mittels Powershell in Gruppe hinzufügen

Mitglied: Eduuaard

Eduuaard (Level 1) - Jetzt verbinden

27.02.2020 um 09:51 Uhr, 428 Aufrufe, 12 Kommentare

Hallo zusammen

Ich möchte mittels Powershell AD-User in einer AD-Gruppe hinzufügen.
Und zwar haben wir folgende Konstellation:

AD-User loggt sich auf Computer und installiert eine Software.
Damit die Software installiert werden kann muss der User manuell in eine AD-Gruppe (lokaler Administrator) hinzugefügt werden.
Nach dem Abschluss der Installation muss der AD-User aus der AD-Gruppe (lokaler Administrator) entfernt werden.

1. Kann ich einen AD-User auf einem PC/Laptop in einer AD-Gruppe hinzufügen bzw. entfernen?
2. Wie funktioniert das?


Ablauf:

AD-User möchte Software XYZ auf seinem Gerät installiert haben
Administrator fügt den AD-User manuell über das AD in AD-Gruppe (lokaler Administrator) hinzu
Software wird installiert
Nach Abschluss Software muss der User aus der Gruppe entfernt werden mittels Powershell
Mitglied: erikro
27.02.2020 um 10:03 Uhr
Moin,

der Befehl lautet: add-adgroupmember. Besonders interessant ist der Parameter MemberTimeToLive. Damit kannst Du den User automatisch z. B. nach einer Stunde wieder aus der Gruppe entfernen.

Ich kann mir jetzt aber nicht verkneifen, das Verfahren als eher suboptimal zu bezeichnen. Warum nicht über zentrale Softwareverteilung oder Fernzugriff des Admins. Das machen wir hier so und funktioniert problemlos.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: 143127
27.02.2020, aktualisiert um 10:06 Uhr
Das hier solltest du dir zum Thema mal zu Gemüte führen
Sicherer Umgang mit Supportkonten
Bitte warten ..
Mitglied: Tezzla
27.02.2020 um 10:06 Uhr
und

Hinzufügen
Entfernen
Bitte warten ..
Mitglied: Eduuaard
27.02.2020 um 10:25 Uhr
Ja ich möchte dies ja über eine zentrale Softwareverteilung machen und dort das Powershell zum Einsatz kommt.

Jedoch ist hier meine Frage bzw. Problem

Wie kann ich die AD Gruppen herauslesen?
Bzw. wie merkt der Rechner (mit Logged User XYZ) dass es diese Gruppe gibt und er sich selber hinzufügen kann?
Braucht es da nicht Administratoren Rechte?
Bitte warten ..
Mitglied: Tezzla
27.02.2020 um 10:31 Uhr
Schreib mal deine Anforderungen auf und mit welcher Software und Möglichkeiten du dorthin kommen willst.
Bitte warten ..
Mitglied: erikro
27.02.2020 um 10:34 Uhr
Moin,

Zitat von Eduuaard:

Ja ich möchte dies ja über eine zentrale Softwareverteilung machen und dort das Powershell zum Einsatz kommt.

Was denn nun? Zentrale Softwareverteilung (z. B. Bordmittel GPO, Baramundi o. ä.)? Oder doch Installation per Skript?

Wie kann ich die AD Gruppen herauslesen?

get-adgroup

Bzw. wie merkt der Rechner (mit Logged User XYZ) dass es diese Gruppe gibt und er sich selber hinzufügen kann?

Kann er hoffentlich nicht.

Braucht es da nicht Administratoren Rechte?

Ja. Deshalb ja auch die zentrale Softwareverteilung, in der der Admin festlegt, was auf welchem Rechner installiert wird. Dann braucht es das ganze Gedöns mit Userrechte erhöhen nicht.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Eduuaard
27.02.2020 um 10:49 Uhr
Eingeloggten User auslesen:

$Rechner = "localhost"
Get-WmiObject Win32_ComputerSystem -ComputerName $Rechner | Select-Object Name,UserName

Software wird installiert....
Am Ende der Software Installation wird das Powershell Script ausgeführt

User aus AD Gruppe entfernen

Domänenuser (vermutlich mit Domänenadminuser und Passwort) wird aus AD_Gruppe (lokaler ADministrator) entfernt

ENDE
Bitte warten ..
Mitglied: Tezzla
27.02.2020, aktualisiert um 11:00 Uhr
Die Zeile Remove-ADGroupMember muss dann mit einem Konto durchgeführt werden, was aus Gruppen Benutzer entfernen darf. Das kann man in einer Softwareverteilung i.d.R. aber einstellen.

Warum auch immer du das so machen willst - man machts mit einer Softwareverteilung eigentlich anders.
Bitte warten ..
Mitglied: Eduuaard
27.02.2020 um 11:08 Uhr
Aber das kann ja nicht funktionieren.... weil ich mich nicht richtig ausgedrückt habe

Das Powershell Script muss lokal auf einem Gerät gestartet werden und der eingeloggte User muss sich quasi selber in eine AD Gruppe hinzufügen.
Damit er das kann muss er ja den DOmänen Admin und Passwort eingeben.

Das Problem ist derjenige der das betreut hat ist nicht mehr bei uns und wir müssen es jetzt ausbaden.... und wollen möglichst wenig aufwand machen.
Bitte warten ..
Mitglied: erikro
27.02.2020 um 11:17 Uhr
Moin,

Zitat von Eduuaard:
Das Powershell Script muss lokal auf einem Gerät gestartet werden und der eingeloggte User muss sich quasi selber in eine AD Gruppe hinzufügen.

Warum? Was für exotische Software installierst Du, die sich nicht mittels einer zentralen Softwareverteilung installieren lässt.

Damit er das kann muss er ja den DOmänen Admin und Passwort eingeben.

Richtig bzw. eines Users, der das darf. Und dann kannst Du das auch gleich ins Intranet stellen.

Das Problem ist derjenige der das betreut hat ist nicht mehr bei uns und wir müssen es jetzt ausbaden.... und wollen möglichst wenig aufwand machen.

Dann nutzt die Gelegenheit und macht es besser.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Eduuaard
27.02.2020 um 11:24 Uhr
Zitat von Eduuaard:
Das Powershell Script muss lokal auf einem Gerät gestartet werden und der eingeloggte User muss sich quasi selber in eine AD Gruppe hinzufügen.

Warum? Was für exotische Software installierst Du, die sich nicht mittels einer zentralen Softwareverteilung installieren lässt.
Es ist keine exotische Software. Normale Standard Softwares....
Damit er das kann muss er ja den DOmänen Admin und Passwort eingeben.

Richtig bzw. eines Users, der das darf. Und dann kannst Du das auch gleich ins Intranet stellen.
Das wird in die Softwareverteilung eingepflegt
Das Problem ist derjenige der das betreut hat ist nicht mehr bei uns und wir müssen es jetzt ausbaden.... und wollen möglichst wenig aufwand machen.

Dann nutzt die Gelegenheit und macht es besser.
Wir werden dies auch besser machen, jedoch wollen wir die Softwareverteilung (Columbus) sowieso ersetzen bzw. bald auf eine andere umsteigen und wir wollen nicht 2x denselben Aufwand haben. Deswegen wollen wir einfach am Ende jeder Softwareinstallation das Powershell script starten.



Was ich habe:
$Rechner = "localhost"
$Gruppe = "AD-Gruppenobjekt"
Get-WmiObject Win32_ComputerSystem -ComputerName $Rechner | Select-Object Name,UserName

REMOVE-ADGROUPMEMBER -Identity $Gruppe -Members $Username
Bitte warten ..
Mitglied: Tezzla
27.02.2020 um 12:11 Uhr
Über eine Aufgabenplanung beim Login evtl. lösbar, aber ich steig nicht durch, was du da zusammenfrickeln sollst.

Wenn ihr eine vernünftigte Softwareverteilung sucht, PN
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
PowerShell AD-User Export
gelöst Frage von newit1Batch & Shell7 Kommentare

Hallo, ich möchte User aus dem AD mit verschiedenen Eigenschaften in eine CSV exportieren Folgenden Befehl habe ich ausgetüftelt ...

Batch & Shell
AD User per PowerShell auslesen
gelöst Frage von AndreNBatch & Shell2 Kommentare

Hi zusammen, ich möchte gerne die AD User per Skript auslesen lassen und mir die Namen so wie einen ...

Windows Userverwaltung
Powershell: AD User Properties auslesen
gelöst Frage von bensonhedgesWindows Userverwaltung2 Kommentare

Hallo! ich möchte gerne die AD User Properties wie folgt auslesen: Im Export bekomme ich allerdings nicht die gewünschten ...

Windows Userverwaltung

Powershell - AD User Logon (locked Account)

Frage von banane31Windows Userverwaltung3 Kommentare

Hallo zusammen, ich verzweifele seid Wochen an einem eigentlich banalen Problem. Ein GF meldet sich an seinem Surface an ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 1 TagInformationsdienste7 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 1 TagInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 2 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 2 TagenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
Windows Server
Windows 7 wird im WSUS nicht angezeigt
gelöst Frage von DavidHergWindows Server24 Kommentare

Guten Abend zusammen, nachdem sich die Frage mit meinem WSUS erledigt hat und somit alles jetzt funktioniert, hab ich ...

Off Topic
Ein wenig Aufklärung über Corona von Bill Gates persönlich
Information von FrankOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Windows Server
Hyper-V VM vorm Admin absichern
Frage von MarabuntaWindows Server24 Kommentare

Hallo, wie bekomme ich eine VM in WS 2012 Hyper-V soweit abgetrennt, dass ein Admin ohne Passwort keinen (leichten) ...

Festplatten, SSD, Raid
Storage Wahl für Virtualisierungsumgebung
Frage von Le2000Festplatten, SSD, Raid11 Kommentare

Hallo allerseits, da ich bereits seit einiger Zeit aus der Materie ausgestiegen war und mich allmählich wieder einarbeite, wüsste ...