derschakal83
Goto Top

Computer automatisiert einer Gruppe hinzufügen

Hallo zusammen,

es gibt bei uns im AD zwei Gruppen, denen wir unsere Computer (je nach Bereich) automatisiert zuordnen wollen.
Dafür habe ich ein VB-Script geschrieben. Das Script selber funktioniert auch, beim Ausführen des Scripts wird der Rechner in die passende AD-Gruppe aufgenommen.

Wenn ich nun dieses VB-Script als Start-Script in einem GPO hinterlege, wird der Rechner aber leider nicht in die Gruppe aufgenommen. Das GPO selbst wird verarbeitet, das konnte ich über "gpresult /r" sehen. Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Ich hab das GPO-Logging am Client aktiviert, konnte dort aber keine Fehlermeldungen diesbezüglich sehen.

Hatte jemand vielleicht schon so eine Anforderung und konnte das irgendwie umsetzen?

Vielen Dank schonmal für alle Antworten.

viele Grüße
Tobi

Content-ID: 357241

Url: https://administrator.de/forum/computer-automatisiert-einer-gruppe-hinzufuegen-357241.html

Ausgedruckt am: 28.12.2024 um 15:12 Uhr

emeriks
Lösung emeriks 06.12.2017 um 12:09:19 Uhr
Goto Top
Hi,
Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Das ist mit Sicherheit so, wenn Du das nicht explizit erlaubt hast.
Du könntest der Gruppe "Domänen-Computer" das Recht zum Verwalten der Gruppenmitgliedschaft für diese beiden Gruppen erteilen.
Oder einfach auf einem DC eine Geplante Aufgabe unter "LocalSystem" laufen lassen, welche regelmäßig (Interval musst Du bestimmen) die Computer nach einem bestimmten Kriterium (ich vermute mal OU) den Gruppen zuordnet.

E.
134464
134464 06.12.2017 aktualisiert um 12:16:52 Uhr
Goto Top
Oder als weitere Idee, am DC das AD-Auditing aktivieren und beim Hinzufügen eines Computer-Objektes in einer bestimmten OU im Eventlog ein Skript triggern lassen welches den Computer zur Gruppe hinzufügt.
Den Computer selbst wollte ich das persönlich nicht machen lassen wollen, ist zwar Machbar mit Zuweisung der Berechtigung wie @emeriks schon nannte, aber nicht gerade best practice.
Pjordorf
Pjordorf 06.12.2017 um 12:15:08 Uhr
Goto Top
Hallo,

Zitat von @derschakal83:
Wenn ich nun dieses VB-Script als Start-Script
Computer Startup Skript?
Was steht in diesem Skript alles drin?
Mal per Skript ein Log befüllt und nachgeschaut was denn dort zu diesem Zeitpunkt passiert, welche Variablen existieren usw., wo das Skript nun steht und so? Das Log erstmal Lokal speichern, danach kannst du es im LAN auf einer Freigabe (erreichbar für dein Skript) ablegen lassen.
Genügend Rechte um das anzuwenden was du willst?
Interaktion mit den Desktop nötig?

Gruß,
Peter
derschakal83
derschakal83 06.12.2017 um 12:45:39 Uhr
Goto Top
Es ist wie emeriks sagt.. wenn man in den Eigenschaften der AD-Gruppe die "Domänencomputer" als schreibberechtigt hinzufügt, funktioniert das Aufnehmen in die AD-Gruppe.
jsysde
Lösung jsysde 06.12.2017 um 15:23:00 Uhr
Goto Top
Mahlzeit.

Sofern das nicht als Startup-Skript laufen muss, wäre das hier (musste noch anpassen) eine denkbare Alternative:
https://www.windowspro.de/script/shadow-groups-active-directory-verwalte ...

Cheers,
jsysde
derschakal83
derschakal83 06.12.2017 um 19:54:32 Uhr
Goto Top
vielen Dank für die Hinweise! Wir werden es jetzt mit dem Startskript innerhalb des GPO lösen. Das macht für unsere Anforderungen am meisten Sinn.