automatisch Domaingruppe zu lokaler Gruppe hinzufügen

hi!

Ich habe eine Domaingruppe "S-Admins" und möchte diese der lokalen Gruppe "Administratoren" hinzufügen.

Das geht zwar ganz gut von Hand zu machen.

Kennt jemand eine Möglichkeit das automatisch machen zu lassen?

redest du von einer W2k-Domäne? (warum muss man eigentlich immer alle Infos extra erfragen )

Dann geht es über Gruppenrichtlinien mit Erstellen und Konfigurieren von Eingeschränkten Gruppen.

grizzly999

>>redest du von einer W2k-Domäne?<<

Nicht ganz. Eine Windows 2003 Server Domain.

>>(warum muss man eigentlich immer alle Infos extra erfragen)<<

Auch ne gute Frage!

>>Dann geht es über Gruppenrichtlinien mit Erstellen und Konfigurieren von Eingeschränkten Gruppen.<<

Sorry, habe ich nicht verstanden.

Also, wie man Rechte einschränkt ist mir schon klar. Aber ich will ja nicht einschränken, ich will ja erlauben!

Die Leute sollen auf ihrer XP Kiste Adminrechte habe, aber eben nicht in der Domain.

Es geht auch ganz gut: Ich erstelle ein Domain-Gruppe "S-Admins" und weise User der Gruppe zu. Dann weise ich die die Domain-Gruppe "S-Admins" der lokalen Gruppe "Administratoren" zu und schon habe ich lokale Admins! Die dürfen auf ihrem Rechner alles, aber in der Domain nix.

Nun möchte ich auch nicht zu allen 400 Rechnern gehen und die Gruppe "S-Admins" der lok. Gruppe "Administartoren" von Hand zuweisen. Wenn ich das z.B. im Login-Script erschlagen könnte oder bei der Installation, dann wäre mir das sehr recht!

>>(warum muss man eigentlich immer alle Infos extra erfragen)<<

Auch ne gute Frage!

o.k., 1:1 :D

Microsoft hat den Begriff "Eingeschränkte" Gruppe gewählt, damit man per Richtlinie bestimmen kann, wer in einer Gruppe Mitglied ist. Die Überprüfung der Richtlinie stellt dann die Mitgliedschaft so her, wie in der GPO angegeben, also, du tust jemand manuell dazu, die Richtlinie schmeisst ihn wieder raus. Du löschst jemand manuell raus, der per GPO reingehört, die Richtlinie tut ihn wieder rein. Voila.

Zu finden ist das ganze unter der Richtlinie (Domäne oder OU, je nach dem)/Computereinstellung/Windows Einstellungen/Sicherheitseinstellungen/Eingeschränkte Gruppen. Du fügst die loakle Gruppe Administratoren hinzu (störe dich nicht am vorangestellten Domänennamen) und fügst dann die Gruppe Benutzer, oder wen auch immer du da drin haben möchtest, hinzu. Fertig.

Für den sofortigen Test gpupdate auf dem DC nicht vergessen und auf dem Client gpupdate (bzw. secedit /refreshpolicy...) nicht vergessen. Unnötig zu erklären, dass das nicht für W9x/ME/NT Clients geht ;)

grizzly999

Ok. Werde ich mal versuchen.

Hatte aber gerade eine andere Idee: Script!

Set myLocalGroup = GetObject("WinNT://lokaler_rechner/lokale_gruppe")

Set myDomainGroup = GetObject("WinNT://domain_name/domain_gruppe")

myLocalGroup.Add (myDomainGroup.ADsPath)

myLocalGroup.SetInfo

Und es tut auch! Für "lokaler_rechner" habe ich noch 127.0.0.1 eingesetzt und es tut! :D

Hallo @all,

kann mir jemand sagen, wie diese Zeile

myLocalGroup.Add (myDomainGroup.ADsPath)

voll ausgeschrieben lauten müsste?

Versuche auf diesem Weg gerade, eine Globale Gruppe als Mitglied der lokalen Adminstratoren auf den Clienst zu machen.

Die Nutzung von 'Eingeschränkte Gruppen' kommt nicht in Betracht, da dabei die manuell in die Gruppe aufgenommenen Benutzer überschrieben werden.

Gruß, Dirk