Jump to content

Kanonischen Namen eines AD Objects per Script auslesen?

warbird001

Von warbird001
in Windows Forum — Scripting

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

warbird001 Rising Star

warbird001   10

Geschrieben
Geschrieben

Hallo Alle

 

Was habe ich fuer Moeglichkeiten um den Kanonischen Namen

eines AD Computerkontos per Script auszulesen?

 

Es geht darum das sich Nutzer nur an Rechnern anmelden

koennen sollen die unterhalb einer bestimmten OU (=Klassenraum) liegen.

Aus dem Kanonischen Namen der in "Active Directory Benutzer und Computer "unter "Objekt" zu sehen ist koennte man den Raumnamen

Extrahieren indem der Rechner steht.

 

Da die Rechner in den Raeumen oefter wechseln ist es nicht sinnvoll das ueber Konto/Anmelden zu machen , script waere besser.

 

mfg

Stefan:wq

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Frage: und wie, besser gefragt WANN soll das Scriptmit der Abfrage das lösen? Wenn sich der User anmeldet. Dann ist er aber bereits authentifiziertnud autorisiert. Natürlich könnte man dann in dem Script irgendwie versuchen gleich wieder ein shutdown /l zu vergraben, aber :suspect:

 

Eigentlich gibt es für so etwas das Benutzerrecht der Lokalen Anmeldung, das man wunderbar über Gruppenrichtlinien für Computer setzen kann. Alle betreffenden Computer in einer OU, das ist geradezu prädestiniert für eine GPO :wink2:

 

grizzly999

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Frage: und wie, besser gefragt WANN soll das Scriptmit der Abfrage das lösen? Wenn sich der User anmeldet. Dann ist er aber bereits authentifiziertnud autorisiert. Natürlich könnte man dann in dem Script irgendwie versuchen gleich wieder ein shutdown /l zu vergraben, aber :suspect:

 

 

....so in etwa hatt ich mir das gedacht.

 

Eigentlich gibt es für so etwas das Benutzerrecht der Lokalen Anmeldung, das man wunderbar über Gruppenrichtlinien für Computer setzen kann. Alle betreffenden Computer in einer OU, das ist geradezu prädestiniert für eine GPO :wink2:

 

grizzly999

 

 

Du meinst:

Computerkonfiguration/WindowsEinstellungen/SicherheitsEinstellungen

/LokaleRichtlinien/ZuweisenvonBenutzerrechten

LokalAnmeldenVerweigern/Zulassen ?

 

 

Ich habe eher wenige (6-10, aber oefter wechselnd)

Rechner an denen sich die Nutzer anmelden duerfen sollen.

Alle in einer OU relativ weit unten in der Verzeichnisherarchie.

 

Aber viele Rechner auf denen sie sich nicht anmelden koennen sollen.

Diese liegen in anderen OUs die ebenfalls relativ weit unten in der

Verzeichnissherars***ie liegen.

 

Soweit ich weiss hatt auch im AD eine Verweigerung immer Vorrang vor Zulassen.

Wenn ich also z.b ganz oben in der VerzeichnisHerarchie eine

Verweigerung setze dann kann ich die weiter unten nicht mehr durch Zulassen

ausser Kraft setzen.

 

Es muesste also auf jedem OU(=Raum) eine Verweigerungsrichtlinie sein die

Entsprechend angepasst ist?

 

mfg

Stefan:wq

Link zu diesem Kommentar
woiza Veteran

woiza   10

Geschrieben
Geschrieben

Doch, du kannst oben verweigern und unten erlauben. Es gewinnt die GPO, die am nächsten ist.

 

Konkret:

 

Mach ne Gruppe "Schüler" und verweigere ihr in der obersten OU das lokale Anmelden. Unten machst du ne GPO und erlaubst es. Dazu muss das Deny ohne besagte Guppe konfiguriert werden. Das Deny der oberen GPO würde sonst das Allow der unteren schlagen.

 

Alternativ könntest du unten "block inheritance"setzen, aber dann zieht auch sonst nichts.

 

Die OU bekommst du im Skript übrigens mit der ADSI Property "parent"

 

IADs Property Methods (Windows)

 

 

Gruß

 

woiza

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Doch, du kannst oben verweigern und unten erlauben. Es gewinnt die GPO, die am nächsten ist.

 

Konkret:

 

Mach ne Gruppe "Schüler" und verweigere ihr in der obersten OU das lokale Anmelden. Unten machst du ne GPO und erlaubst es. Dazu muss das Deny ohne besagte Guppe konfiguriert werden. Das Deny der oberen GPO würde sonst das Allow der unteren schlagen.

 

Alternativ könntest du unten "block inheritance"setzen, aber dann zieht auch sonst nichts.

 

Die OU bekommst du im Skript übrigens mit der ADSI Property "parent"

 

IADs Property Methods (Windows)

 

 

Gruß

 

woiza

 

Ich habe das mal versucht, also oben Verweigern ist kein Problem nur das

Freigeben auf der unteren Ebene will nicht klappen.

Ich habe einen Nutzer den Gruppen a und b hinzugefuegt, a wird oben

die Anmeldung verweigert.

Versuche ich nun in den unteren OU´s entweder dem Nutzer oder der Gruppe

b die Anmeldung zu Erlauben wird keine Eingabe richtig akzeptiert.

d.h Ich kann zwar Namen/Gurppen Eintragen aber "uebernehmen" oder "Ok" wird

ignoriert. Schlussendlich war es mir nicht moeglich ueberhaupt jemanden

Ausdruecklich das Recht "Anmeldung Zulassen" zu vergeben.

 

Ne Idee was falsch ist?

 

mfg

Stefan:wq

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...