Local user in local admin Gruppe auf allen SRV per Powershell script

Hallo zusammen,

ich versuche ein Skript auf die beine zu stellen, welches einen lokalen User mit PW erstellt, diesen in die lokalen "Administratoren" Gruppe hinzufügt. Das Ganze soll auf allen SRV in dem Netzwerk passieren.

Bitte um Hilfe und Vorschläge. Ich bedanke mich schonmal.

Viele Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 508512

Url: https://administrator.de/contentid/508512

Printed on: April 23, 2024 at 11:04 o'clock

16 Comments

Latest comment

Hi,
Vorschlag:
Du zeigst uns erstmal, was Du schon an Code zusammengetragen hast.

E.

$pw = ConvertTo-SecureString -String "test123" -AsPlainText -Force  
New-LocalUser -Name Test4 -Password $pw
Add-LocalGroupMember -Name Administratoren -Member test4

Dann hab ich noch diesen Befehl um alle Server ausm AD zu ziehen

Get-ADComputer -Filter "OperatingSystem -like '*Server*'" -Properties dNSHostName | Format-Table name  

Und wo kommst Du jetzt nicht weiter?

Wie kann ich es verbinden damit es automatisiert auf allen server angewendet wird?

https://docs.microsoft.com/de-de/powershell/scripting/learn/remoting/run ...

Moin.

Klingt gruselig, dein Vorhaben. Vermeide besser Konten, die auf allen Servern Admin sind (zudem noch mit dem selben Kennwort!).

Wozu ist das gut?

mein backup. ich möchte einen lokalen bn haben womit ich in allen fällen zugreifen kann.

Für den Fall der Fälle reicht ein Booten des Setup-Usb-Sticks. Lokalen Administrator aktivieren, fertig. Für den Fall der Fälle keine Konten vorhalten. Zu unsicher.

Es geht um virtuelle SRV. Kannst du mir im Skript nicht helfen???

Ich rate dir einfach davon ab. Die Idee ist schlecht.
Es ist ein Zweizeiler in Batch:

net user /add hanswurst passw@rd
net localgroup administratoren /add hanswurst

Das als Startskript bei allen Servern eintragen, Leserechte auf das Skript für alle Unbeteiligten entfernen - fertig. Aber warum um alles in der Welt muss es das selbe Kennwort sein? Mach es lieber so:

net user /add hanswurst /random>\\server\share\%computername%.txt

So hast Du für jeden hanswurst pro Server ein eigenes Kennwort, welches Du aus der Textdatei entnehmen kannst. (Leserechte auf das Share unbedingt allen Unbeteiligten nehmen).
Achtung: /random setzt nur ein 8 stelliges Randomkennwort, also lieber mit Powershell arbeiten. Sachdienliche Hinweise siehe generaterandompassowrd.ps1 von Sicherer Umgang mit Supportkonten bzw. aus http://www.sans.org/windows-security/files/scripts.zip , welches Zufallskennwörter (anpassbare Länge, default: 15) generiert
genauer: scripts.zip\Day6-PowerShell\GenerateRandomPassword.ps1

ich brauche aber ein Skript welches das AD nach allen Server durchsucht und anschließend auf den Servern den user anlegt. Ich möchte nicht manuell die Skripte auf den Servern einbinden.

Du kannst mit psexec arbeiten, welches Remote Kommandos ausführt. Erstelle halt eine Liste der Server über eine Abfrage und dann lass psexec auf sie los. Einfacher wäre es doch, ein Startskript per GPO abzufeuern, oder gleich LAPS zu nutzen.
ODER: vernünftig zu werden und den Gedanken fallen zu lassen. Braucht niemand, macht es nur unsicherer.

Du kannst auch per GPP einen Scheduled Task verteilen, der nur auf Servern läuft (GPP item level targeting Filter auf Server OS' setzen) und der dann meinen Zweizeiler ausführt. Wichtig auch hier: Leserechte auf das Skript nur den Beteiligten geben und nicht etwa auch für Domänencomputer/authentifizierte Benutzer.