Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

dynamische Gruppen auf GPOs berechtigen oder Gruppen in Gruppen aufnehmen per Kommandozeile

Mitglied: jschneider

jschneider (Level 1) - Jetzt verbinden

20.02.2008 um 10:30 Uhr, 4267 Aufrufe

Hallo,

ich suche einen Ansatz - erkläre aber erstmal die Ausgangssituation

1. Ich habe eine Funktion erstellt, mit der sich ein Benutzer zum lokalen Administrator auf einem ClientPC innerhalb eines AD's machen kann. das funktioniert so:
- Ein benutzer "UserA" wird in die AD-Gruppe "potential Lokal Admins" hinzugefügt.
- sobald sich ein benutzer anmeldet der in der Gruppe "potential Lokal Admins" Mitglied ist erhält er ein Icon, welches ein Script startet. Dieses Script liegt auf einem Share auf welches auch nur die "potential Lokal Admins" Zugriff haben.
- Dieses Script legt mit einem "RunAs"-derivat im AD eine Gruppe an die NUR für diesen PC gilt "Grp_Lokaladmin_PCNAME, nimmt den Scriptausführenden benutzer in diese Gruppe auf und fügt die AD-Gruppe "Grp_Lokaladmin_PCNAME" auf dem lokalen PC in die Lokalen Administratoren hinzu.
- Nach der nächsten anmeldung verfügt der User über lokale adminrechte.

Soweit ganz gut .. das funktioniert auch bestens

Der Sinn hinter dieser methode ist, dass nicht automatisch benutzer zu lokalen Admins gemacht werden (sondern nur bei bedarf) und die User auch wirklich nur auf Ihren PC's lokaler Admin sind und nicht auch automatisch auf anderen PC's

Jetzt komme ich zu meinem Prolem:
Für die Mitglieder der dynamisch angelegten Gruppen "Grp_Lokaladmin_PCNAME" soll eine bestimmte Gruppenrichtlinie angewandt werden. Da ich dynamisch keine Delegierung all dieser Gruppen vornehme habe ich eine Übergeordnete Gruppe erzeigt "Grp_alleLokaleAdmins" und diese Gruppe auf die GPO berechtigt.

Was mir jetzt zu meinem Glück noch fehlt ist, dass im Zuge des Anlegens der "Grp_Lokaladmin_PCNAME" diese Gruppe auch gleichzeitig in die Gruppe "Grp_alleLokaleAdmins" hinzugefüht wird, damit über diese Gruppe die GPO gezogen wird.

"net group" kann m.E. keine Gruppen in Gruppen aufnehmen, sondern nur Gruppen in lokale Gruppen oder Benutzer in globale oder lokale Gruppen.

hat hier nicht wer einen Ansatz oder ein Tool um Gruppen in Gruppen aufzunehmen ?
"dsadd" funktioniert leider nur auf einem DC, und nicht von Client aus.

Berechtigungen sind nicht zwingend wichtig, da ich mit CPAU solche Tasks mit erhöhten Berechtigungen ausführen kann.

Ich könnte zwar auf dem DC einen Task installieren, der mir mit dsadd diese aufgabe durchführt aber lieber wäre mir erstmal der andere Weg.


Vielen dank fürs lesen, mitdenken und posten


jan
Ähnliche Inhalte
Windows Netzwerk
GPOs aufräumen
gelöst Frage von erwin.tWindows Netzwerk7 Kommentare

Hallo, gibt es ein nützliches Tool, das mir dabei hilft, alte GPOs aufzuräumen? Würde gerne sehen, ob manche Settings ...

Vmware
RAM Speicher Dynamisch
gelöst Frage von zeroblue2005Vmware5 Kommentare

Hallo Zusammen, ich habe einen ESXI-5.1 am laufen mit 32 GB. Auf dem Hyper-Visor laufen derzeit 9 VM. Die ...

VB for Applications
Zeilen dynamisch ausblenden
gelöst Frage von TollgemachtVB for Applications10 Kommentare

Hallo Admins! Ich habe hier eine Liste, und komme nicht weiter, vielleicht kann mir ja jemand von euch helfen? ...

JavaScript
Dialogfenster dynamisch erstellen
Frage von miichiii9JavaScript

Hallo Miteinander Ich versuche ein dynamisches Fenster zu erstellen. Das Fenster ist kein Problem das habe ich mithilfe von ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte30 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell25 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...