6
Computer automatisiert einer Gruppe hinzufügen
Hallo zusammen,
es gibt bei uns im AD zwei Gruppen, denen wir unsere Computer (je nach Bereich) automatisiert zuordnen wollen.
Dafür habe ich ein VB-Script geschrieben. Das Script selber funktioniert auch, beim Ausführen des Scripts wird der Rechner in die passende AD-Gruppe aufgenommen.
Wenn ich nun dieses VB-Script als Start-Script in einem GPO hinterlege, wird der Rechner aber leider nicht in die Gruppe aufgenommen. Das GPO selbst wird verarbeitet, das konnte ich über "gpresult /r" sehen. Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Ich hab das GPO-Logging am Client aktiviert, konnte dort aber keine Fehlermeldungen diesbezüglich sehen.
Hatte jemand vielleicht schon so eine Anforderung und konnte das irgendwie umsetzen?
Vielen Dank schonmal für alle Antworten.
viele Grüße
Tobi
es gibt bei uns im AD zwei Gruppen, denen wir unsere Computer (je nach Bereich) automatisiert zuordnen wollen.
Dafür habe ich ein VB-Script geschrieben. Das Script selber funktioniert auch, beim Ausführen des Scripts wird der Rechner in die passende AD-Gruppe aufgenommen.
Wenn ich nun dieses VB-Script als Start-Script in einem GPO hinterlege, wird der Rechner aber leider nicht in die Gruppe aufgenommen. Das GPO selbst wird verarbeitet, das konnte ich über "gpresult /r" sehen. Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Ich hab das GPO-Logging am Client aktiviert, konnte dort aber keine Fehlermeldungen diesbezüglich sehen.
Hatte jemand vielleicht schon so eine Anforderung und konnte das irgendwie umsetzen?
Vielen Dank schonmal für alle Antworten.
viele Grüße
Tobi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357241
Url: https://administrator.de/contentid/357241
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
Du könntest der Gruppe "Domänen-Computer" das Recht zum Verwalten der Gruppenmitgliedschaft für diese beiden Gruppen erteilen.
Oder einfach auf einem DC eine Geplante Aufgabe unter "LocalSystem" laufen lassen, welche regelmäßig (Interval musst Du bestimmen) die Computer nach einem bestimmten Kriterium (ich vermute mal OU) den Gruppen zuordnet.
E.
Könnte es sein, dass das Computerkonto (oder Systemkonto?) nicht die Berechtigung hat, der AD-Gruppe beizutreten?
Das ist mit Sicherheit so, wenn Du das nicht explizit erlaubt hast.Du könntest der Gruppe "Domänen-Computer" das Recht zum Verwalten der Gruppenmitgliedschaft für diese beiden Gruppen erteilen.
Oder einfach auf einem DC eine Geplante Aufgabe unter "LocalSystem" laufen lassen, welche regelmäßig (Interval musst Du bestimmen) die Computer nach einem bestimmten Kriterium (ich vermute mal OU) den Gruppen zuordnet.
E.
Oder als weitere Idee, am DC das AD-Auditing aktivieren und beim Hinzufügen eines Computer-Objektes in einer bestimmten OU im Eventlog ein Skript triggern lassen welches den Computer zur Gruppe hinzufügt.
Den Computer selbst wollte ich das persönlich nicht machen lassen wollen, ist zwar Machbar mit Zuweisung der Berechtigung wie @emeriks schon nannte, aber nicht gerade best practice.
Den Computer selbst wollte ich das persönlich nicht machen lassen wollen, ist zwar Machbar mit Zuweisung der Berechtigung wie @emeriks schon nannte, aber nicht gerade best practice.
Hallo,
Computer Startup Skript?
Was steht in diesem Skript alles drin?
Mal per Skript ein Log befüllt und nachgeschaut was denn dort zu diesem Zeitpunkt passiert, welche Variablen existieren usw., wo das Skript nun steht und so? Das Log erstmal Lokal speichern, danach kannst du es im LAN auf einer Freigabe (erreichbar für dein Skript) ablegen lassen.
Genügend Rechte um das anzuwenden was du willst?
Interaktion mit den Desktop nötig?
Gruß,
Peter
Computer Startup Skript?
Was steht in diesem Skript alles drin?
Mal per Skript ein Log befüllt und nachgeschaut was denn dort zu diesem Zeitpunkt passiert, welche Variablen existieren usw., wo das Skript nun steht und so? Das Log erstmal Lokal speichern, danach kannst du es im LAN auf einer Freigabe (erreichbar für dein Skript) ablegen lassen.
Genügend Rechte um das anzuwenden was du willst?
Interaktion mit den Desktop nötig?
Gruß,
Peter
Es ist wie emeriks sagt.. wenn man in den Eigenschaften der AD-Gruppe die "Domänencomputer" als schreibberechtigt hinzufügt, funktioniert das Aufnehmen in die AD-Gruppe.
Mahlzeit.
Sofern das nicht als Startup-Skript laufen muss, wäre das hier (musste noch anpassen) eine denkbare Alternative:
https://www.windowspro.de/script/shadow-groups-active-directory-verwalte ...
Cheers,
jsysde
Sofern das nicht als Startup-Skript laufen muss, wäre das hier (musste noch anpassen) eine denkbare Alternative:
https://www.windowspro.de/script/shadow-groups-active-directory-verwalte ...
Cheers,
jsysde
vielen Dank für die Hinweise! Wir werden es jetzt mit dem Startskript innerhalb des GPO lösen. Das macht für unsere Anforderungen am meisten Sinn.
