wolf6660
Goto Top

Remote eine AD-Gruppe auf den Clients hinzufügen

Hi,

würde gerne per Script einen AD-User oder AD-Gruppe zu manchen PCs hinzufügen ohne alles händigte zu verbinden. Bin in Powershell kein Experte finde hierzu keine Möglichkeit. Hat jemand eine Idee?

Import-Module Active Directory
Add-ADGroupMember - Identity Gruppe - Members User

Danke

Content-ID: 593235

Url: https://administrator.de/contentid/593235

Ausgedruckt am: 19.12.2024 um 02:12 Uhr

SlainteMhath
SlainteMhath 03.08.2020 um 09:56:13 Uhr
Goto Top
Moin,

was macht das für einen Sinn? Die Members der AD Gruppen kannst du direkt am DC oder von deiner Admin-Workstation aus hinzufügen.

Was verstehst du denn unter "AD User / Gruppe zu PC hinzufügen"?

lg,
Slainte
145033
145033 03.08.2020 aktualisiert um 11:04:44 Uhr
Goto Top
Dafür braucht es kein Skript, das erledigt man gleich per entsprechenden GPO
Active Directory Group Policy Restricted Groups
Using Restricted Groups

screenshot

Oder der entsprechenden GPP

screenshot
emeriks
emeriks 03.08.2020 um 10:45:42 Uhr
Goto Top
Zitat von @145033:
Dafür braucht es kein Skript, das erledigt man gleich per entsprechenden GPO
Ja, solange man weiß, dass "eingeschränkte Gruppen" kein "Hinzufügen" ist.
145033
145033 03.08.2020 aktualisiert um 10:51:00 Uhr
Goto Top
Zitat von @emeriks:
Ja, solange man weiß, dass "eingeschränkte Gruppen" kein "Hinzufügen" ist.
Wenn man den obigen Artikel auch gründlich liest dann sollte der TO es jetzt wissen (hoffentlich) face-smile
When you configure the members of a group, it will overwrite the existing membership of the group and replace the members with those specified within the GPO
DerWoWusste
DerWoWusste 03.08.2020 um 10:55:15 Uhr
Goto Top
Ja, solange man weiß, dass "eingeschränkte Gruppen" kein "Hinzufügen" ist.
Man kann es auf zwei Weisen benutzen. Die eine Weise räumt leer und packt den dann den gelisteten hinzu, die andere nicht.
emeriks
emeriks 03.08.2020 um 10:59:40 Uhr
Goto Top
Zitat von @DerWoWusste:
Man kann es auf zwei Weisen benutzen. Die eine Weise räumt leer und packt den dann den gelisteten hinzu, die andere nicht.
Erkläre bitte.

Die Mitgliedschaft der genannten "eingeschränkten Gruppe" wird so gesetzt, wie in der gewinnenden GPO festgelegt. Wo gibt es da eine zweite Option? Es gibt noch die GPP "lokale Benutzer und Gruppen", aber das ist eben nicht "eingeschränkten Gruppe".
Oder was meinst Du?
DerWoWusste
DerWoWusste 03.08.2020 um 11:09:00 Uhr
Goto Top
145033
145033 03.08.2020 aktualisiert um 11:18:36 Uhr
Goto Top
Das ist aber nur für die Mitgliedschaft der Gruppe selbst nicht deren Member.
emeriks
emeriks 03.08.2020 um 11:20:22 Uhr
Goto Top
Ach so, das meinst Du.
DerWoWusste
DerWoWusste 03.08.2020 um 11:24:46 Uhr
Goto Top
Ist richtig, ja. War nur der Vollständigkeit halber erwähnt, damit nicht der Anschein entsteht, "restricted groups" wäre immer zunächst einmal destruktiv.

Ebenso ist das Unterfagen lösbar mit GPP, siehe Beispiel https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Wolf6660
Wolf6660 04.08.2020 um 06:18:54 Uhr
Goto Top
super das beantwortet leider nicht meine Frage. Ich will es eben nicht per GPO machen sondern per PowerShell die Frage ist nur ob das funktioniert. Dies ist ein sehr spezieller Fall da kann ich leider nicht mit GPO arbeiten.
DerWoWusste
Lösung DerWoWusste 04.08.2020 aktualisiert um 07:27:41 Uhr
Goto Top
Und das Skript wird dann auch nicht per GPO verteilt, sondern wie?

Net localgroup somegroup /add deinedom\deinegruppe

( batch, läuft aber auch als Powershell)
Wolf6660
Wolf6660 04.08.2020 aktualisiert um 07:56:15 Uhr
Goto Top
falls der Fall eintritt führe ich das Script auf meinem PC aus und trage dort den PC-Namen ein. Batch oder Powershell das ist mir am Schluß egal.
Wolf6660
Wolf6660 04.08.2020 um 08:37:45 Uhr
Goto Top
habe es herausgefunden

psexec \\ComputerName net localgroup administratoren /add domain\username
colinardo
colinardo 04.08.2020 aktualisiert um 10:36:32 Uhr
Goto Top
Zitat von @Wolf6660:

habe es herausgefunden

psexec \\ComputerName net localgroup administratoren /add domain\username

Gefutelt face-smile

Geht auch rein mit der Powershell ohne Thirdparty Tools

<#
    Add members to local groups on remote computer
#>
# -------------------------
# remote computer
$REMOTECOMPUTER = "COMPUTER_XYZ"  
# Remote local group
$REMOTECOMPUTERGROUP = "Administratoren"  
# Domain
$DOMAIN = "DOMAIN.TLD"  
# member to add to the group
$MEMBER = "UserXYZ"  
# -------------------------
Add-Type -A System.DirectoryServices.AccountManagement
$mcontext = New-Object System.DirectoryServices.AccountManagement.PrincipalContext  ([System.DirectoryServices.AccountManagement.ContextType]::Machine),$REMOTECOMPUTER
$dcontext = New-Object System.DirectoryServices.AccountManagement.PrincipalContext  ([System.DirectoryServices.AccountManagement.ContextType]::Domain),$DOMAIN
$group = [System.DirectoryServices.AccountManagement.GroupPrincipal]::FindByIdentity($mcontext,$REMOTECOMPUTERGROUP)
$group.Members.Add($dcontext, 'SamAccountName',$MEMBER)  
$group.Save()
Grüße Uwe