dynamische Gruppen auf GPOs berechtigen oder Gruppen in Gruppen aufnehmen per Kommandozeile
Hallo,
ich suche einen Ansatz - erkläre aber erstmal die Ausgangssituation
1. Ich habe eine Funktion erstellt, mit der sich ein Benutzer zum lokalen Administrator auf einem ClientPC innerhalb eines AD's machen kann. das funktioniert so:
- Ein benutzer "UserA" wird in die AD-Gruppe "potential Lokal Admins" hinzugefügt.
- sobald sich ein benutzer anmeldet der in der Gruppe "potential Lokal Admins" Mitglied ist erhält er ein Icon, welches ein Script startet. Dieses Script liegt auf einem Share auf welches auch nur die "potential Lokal Admins" Zugriff haben.
- Dieses Script legt mit einem "RunAs"-derivat im AD eine Gruppe an die NUR für diesen PC gilt "Grp_Lokaladmin_PCNAME, nimmt den Scriptausführenden benutzer in diese Gruppe auf und fügt die AD-Gruppe "Grp_Lokaladmin_PCNAME" auf dem lokalen PC in die Lokalen Administratoren hinzu.
- Nach der nächsten anmeldung verfügt der User über lokale adminrechte.
Soweit ganz gut .. das funktioniert auch bestens
Der Sinn hinter dieser methode ist, dass nicht automatisch benutzer zu lokalen Admins gemacht werden (sondern nur bei bedarf) und die User auch wirklich nur auf Ihren PC's lokaler Admin sind und nicht auch automatisch auf anderen PC's
Jetzt komme ich zu meinem Prolem:
Für die Mitglieder der dynamisch angelegten Gruppen "Grp_Lokaladmin_PCNAME" soll eine bestimmte Gruppenrichtlinie angewandt werden. Da ich dynamisch keine Delegierung all dieser Gruppen vornehme habe ich eine Übergeordnete Gruppe erzeigt "Grp_alleLokaleAdmins" und diese Gruppe auf die GPO berechtigt.
Was mir jetzt zu meinem Glück noch fehlt ist, dass im Zuge des Anlegens der "Grp_Lokaladmin_PCNAME" diese Gruppe auch gleichzeitig in die Gruppe "Grp_alleLokaleAdmins" hinzugefüht wird, damit über diese Gruppe die GPO gezogen wird.
"net group" kann m.E. keine Gruppen in Gruppen aufnehmen, sondern nur Gruppen in lokale Gruppen oder Benutzer in globale oder lokale Gruppen.
hat hier nicht wer einen Ansatz oder ein Tool um Gruppen in Gruppen aufzunehmen ?
"dsadd" funktioniert leider nur auf einem DC, und nicht von Client aus.
Berechtigungen sind nicht zwingend wichtig, da ich mit CPAU solche Tasks mit erhöhten Berechtigungen ausführen kann.
Ich könnte zwar auf dem DC einen Task installieren, der mir mit dsadd diese aufgabe durchführt aber lieber wäre mir erstmal der andere Weg.
Vielen dank fürs lesen, mitdenken und posten
jan
ich suche einen Ansatz - erkläre aber erstmal die Ausgangssituation
1. Ich habe eine Funktion erstellt, mit der sich ein Benutzer zum lokalen Administrator auf einem ClientPC innerhalb eines AD's machen kann. das funktioniert so:
- Ein benutzer "UserA" wird in die AD-Gruppe "potential Lokal Admins" hinzugefügt.
- sobald sich ein benutzer anmeldet der in der Gruppe "potential Lokal Admins" Mitglied ist erhält er ein Icon, welches ein Script startet. Dieses Script liegt auf einem Share auf welches auch nur die "potential Lokal Admins" Zugriff haben.
- Dieses Script legt mit einem "RunAs"-derivat im AD eine Gruppe an die NUR für diesen PC gilt "Grp_Lokaladmin_PCNAME, nimmt den Scriptausführenden benutzer in diese Gruppe auf und fügt die AD-Gruppe "Grp_Lokaladmin_PCNAME" auf dem lokalen PC in die Lokalen Administratoren hinzu.
- Nach der nächsten anmeldung verfügt der User über lokale adminrechte.
Soweit ganz gut .. das funktioniert auch bestens
Der Sinn hinter dieser methode ist, dass nicht automatisch benutzer zu lokalen Admins gemacht werden (sondern nur bei bedarf) und die User auch wirklich nur auf Ihren PC's lokaler Admin sind und nicht auch automatisch auf anderen PC's
Jetzt komme ich zu meinem Prolem:
Für die Mitglieder der dynamisch angelegten Gruppen "Grp_Lokaladmin_PCNAME" soll eine bestimmte Gruppenrichtlinie angewandt werden. Da ich dynamisch keine Delegierung all dieser Gruppen vornehme habe ich eine Übergeordnete Gruppe erzeigt "Grp_alleLokaleAdmins" und diese Gruppe auf die GPO berechtigt.
Was mir jetzt zu meinem Glück noch fehlt ist, dass im Zuge des Anlegens der "Grp_Lokaladmin_PCNAME" diese Gruppe auch gleichzeitig in die Gruppe "Grp_alleLokaleAdmins" hinzugefüht wird, damit über diese Gruppe die GPO gezogen wird.
"net group" kann m.E. keine Gruppen in Gruppen aufnehmen, sondern nur Gruppen in lokale Gruppen oder Benutzer in globale oder lokale Gruppen.
hat hier nicht wer einen Ansatz oder ein Tool um Gruppen in Gruppen aufzunehmen ?
"dsadd" funktioniert leider nur auf einem DC, und nicht von Client aus.
Berechtigungen sind nicht zwingend wichtig, da ich mit CPAU solche Tasks mit erhöhten Berechtigungen ausführen kann.
Ich könnte zwar auf dem DC einen Task installieren, der mir mit dsadd diese aufgabe durchführt aber lieber wäre mir erstmal der andere Weg.
Vielen dank fürs lesen, mitdenken und posten
jan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81189
Url: https://administrator.de/contentid/81189
Ausgedruckt am: 04.11.2024 um 22:11 Uhr