Objektverwaltung AD (Computerkonten)
1. Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
2. Wie entfernt man eine Objektverwaltung auf Domänenebene?
Hallo,
ich habe ein Skript geschrieben (Batch), das eine beliebige Aktion einmal ausführt und anschließend das Computerkonto verschiebt. Damit kann ich manuell alle Rechner in eine bestimmte OU verschieben, auf welche das erwähnte Skript per Gruppenrichtlinie als Startskript ausgeführt wird, wonach die Rechner - durch Abarbeitung der Batch - automatisch wieder zurück in die alte OU verschoben werden.
Kurzum, auf allen Rechner wird eine Aktion genau nur einmal ausgeführt.
Funktioniert soweit ganz gut, nur leider habe ich noch ein Problem:
der Befehl dsmove funktioniert nur, wenn er mit den entsprechenden Rechten ausgeführt wird. Wenn ich die Batch als Admin ausführe, oder Benutzername und Kennwort in der Batch mitgebe, dann klappt alles, ansonsten schlägt das Verschieben fehl. Also muss ich entweder den Computerkonten das Recht zuweisen, Computerkonten in bestimmten OUs zu Verwalten, oder ich lege einen extra Benutzer an, der nichts kann außer Computerkonten in bestimmten OUs verwalten.
Leider ist in der Objektverwaltung im AD ein solcher Task (beispielsweise Computerkonten verwalten) nicht vordefiniert. Ich habe selbst mal etwas ausprobiert und dem neu erstellten Testbenutzer das Recht gegeben Computerobjekte zu erstellen und löschen, aber in der letzten Maske des Assistenten tauchen dann nochmal Berechtigungen auf, mit denen ich dann wenig anfangen kann. Hier werde ich aufgefordert, Berechtigungen zu setzen, wobei die Objekte "Computer" gar nicht mehr auftauchen. Stattdessen kann ich beispielsweise das Recht lesen/schreiben erteilen, was sich dann aber gleich auf solche Attribute auswirkt, die ich gar nicht miteinbezogen haben möchte (Postfachspeicher etc.).
Daher nochmal in aller Kürze die Frage:
Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
Frage 2: Über eine Microsoft-Seite wurde der Vorgang für die Verwaltung von Computerkonten angeführt. Dabei ging es um die Erstellung und Löschung von Konten, und der Vorgang der Objektverwaltung wurde in der Erläuterung direkt auf der Domänenebene ausgeführt (nicht auf einer untergeordneten OU). Leider sieht man direkt auf der Domäne keine Lasche "Sicherheit", daher weiß ich jetzt nicht, wie ich das Testkonto hier wieder entfernen kann.
Viele Grüße an Euch alle,
die Kaffeepause
PS: Wen es interessiert:
Die Batch ermittelt über dsquery das eigene Computerkonto und schreibt das Ergebnis in eine temporäre Textdatei.
Diese wird im zweiten Schritt ausgewertet (über findstr wird nach verschiedenen Begriffen gesucht) und Variablen gefüllt (wie Standort).
Im dritten Schritt wird das Computerkonto via dsmove und mit Hilfe der Variablen verschoben.
Nur wenn alle Schritte erfolgreich waren (Prüfung über die Variable errorlevel), wird die anfangs erwähnte einmalige Aktion ausgeführt.
2. Wie entfernt man eine Objektverwaltung auf Domänenebene?
Hallo,
ich habe ein Skript geschrieben (Batch), das eine beliebige Aktion einmal ausführt und anschließend das Computerkonto verschiebt. Damit kann ich manuell alle Rechner in eine bestimmte OU verschieben, auf welche das erwähnte Skript per Gruppenrichtlinie als Startskript ausgeführt wird, wonach die Rechner - durch Abarbeitung der Batch - automatisch wieder zurück in die alte OU verschoben werden.
Kurzum, auf allen Rechner wird eine Aktion genau nur einmal ausgeführt.
Funktioniert soweit ganz gut, nur leider habe ich noch ein Problem:
der Befehl dsmove funktioniert nur, wenn er mit den entsprechenden Rechten ausgeführt wird. Wenn ich die Batch als Admin ausführe, oder Benutzername und Kennwort in der Batch mitgebe, dann klappt alles, ansonsten schlägt das Verschieben fehl. Also muss ich entweder den Computerkonten das Recht zuweisen, Computerkonten in bestimmten OUs zu Verwalten, oder ich lege einen extra Benutzer an, der nichts kann außer Computerkonten in bestimmten OUs verwalten.
Leider ist in der Objektverwaltung im AD ein solcher Task (beispielsweise Computerkonten verwalten) nicht vordefiniert. Ich habe selbst mal etwas ausprobiert und dem neu erstellten Testbenutzer das Recht gegeben Computerobjekte zu erstellen und löschen, aber in der letzten Maske des Assistenten tauchen dann nochmal Berechtigungen auf, mit denen ich dann wenig anfangen kann. Hier werde ich aufgefordert, Berechtigungen zu setzen, wobei die Objekte "Computer" gar nicht mehr auftauchen. Stattdessen kann ich beispielsweise das Recht lesen/schreiben erteilen, was sich dann aber gleich auf solche Attribute auswirkt, die ich gar nicht miteinbezogen haben möchte (Postfachspeicher etc.).
Daher nochmal in aller Kürze die Frage:
Welche genauen Rechte benötigt ein Konto um Computerkonten mittels dsmove verschieben zu können?
Frage 2: Über eine Microsoft-Seite wurde der Vorgang für die Verwaltung von Computerkonten angeführt. Dabei ging es um die Erstellung und Löschung von Konten, und der Vorgang der Objektverwaltung wurde in der Erläuterung direkt auf der Domänenebene ausgeführt (nicht auf einer untergeordneten OU). Leider sieht man direkt auf der Domäne keine Lasche "Sicherheit", daher weiß ich jetzt nicht, wie ich das Testkonto hier wieder entfernen kann.
Viele Grüße an Euch alle,
die Kaffeepause
PS: Wen es interessiert:
Die Batch ermittelt über dsquery das eigene Computerkonto und schreibt das Ergebnis in eine temporäre Textdatei.
Diese wird im zweiten Schritt ausgewertet (über findstr wird nach verschiedenen Begriffen gesucht) und Variablen gefüllt (wie Standort).
Im dritten Schritt wird das Computerkonto via dsmove und mit Hilfe der Variablen verschoben.
Nur wenn alle Schritte erfolgreich waren (Prüfung über die Variable errorlevel), wird die anfangs erwähnte einmalige Aktion ausgeführt.
DSQUERY computer -name %computername%>%temp%\dsquery.txt
FINDSTR /C:"London" "%temp%\dsquery.txt"
IF NOT errorlevel 1 SET standort=London
DSMOVE "CN=%computername%,OU=Umstellung,OU=%standort%,DC=firma" -newparent "OU=%standort%,DC=firma"
IF %errorlevel%==0 GOTO aktion
GOTO ende
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 136559
Url: https://administrator.de/forum/objektverwaltung-ad-computerkonten-136559.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
7 Kommentare
Neuester Kommentar
Servus,
welche Berechtigungen zum verschieben eines Computerkontos benötigt werden, erfährst du aus dem folgenden Artikel:
[LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent]
http://blog.dikmenoglu.de/Der+Objektdelegierungsassistent.aspx
Viele Grüße
/ > Yusuf Dikmenoglu
welche Berechtigungen zum verschieben eines Computerkontos benötigt werden, erfährst du aus dem folgenden Artikel:
[LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent]
http://blog.dikmenoglu.de/Der+Objektdelegierungsassistent.aspx
Viele Grüße
/ > Yusuf Dikmenoglu