Gruppenmitgliedschaft (nicht lokal) per GPO zuweisen

[Terminator81 10]

Hallo zusammen,

 

ich möchte gerne über eine Richtlinie die Mitgliedschaft des Users in verschiedenen AD Gruppen steuern

geht das ? wenn ja wie?

 

Danke schon mal

 

 

[NorbertFe 2.157]

Nein das geht nicht.

[Terminator81 10]

schade auch nicht über script powershell etc?

[Dukel 460]

Wieso per GPO?

[Terminator81 10]

weil ich gerne es über die Lage des User in der AD steuern möchte

z.B.

 

User wird verschoben in die OU Einkauf--> User wird automatisch mitglied der Gruppen dort u.a. Drucker, Laufwerke etc

[Dukel 460]

Wozu OUs? Wieso nicht mit Gruppen arbeiten?

Eine OU mit allen normalen Benutzern.

Warum hast du mehrere OUs?

[Terminator81 10]

möchte gerne die Struktur des Unternehmens abbilden also die Abteilungen bzw hierachie

[Dukel 460]

Und wozu? Hat das Administrative Gründe (unterschiedliche GPO's Pro Abteilung, von der Gruppen Problematik abgesehen)?

[NorbertFe 2.157]

möchte gerne die Struktur des Unternehmens abbilden also die Abteilungen bzw hierachie

Im Allgemeinen ist das eine "schlechte" Idee.

[Sunny61 816]

weil ich gerne es über die Lage des User in der AD steuern möchte

z.B.

 

User wird verschoben in die OU Einkauf--> User wird automatisch mitglied der Gruppen dort u.a. Drucker, Laufwerke etc

Überleg doch mal, das ist IMHO recht einfach. Leg dir einen geplanten Task an, der täglich, minütlich oder stündlich prüft ob alle Benutzerobjekte in der OU trallala auch in der Gruppe Trallala sind. Wenn nein, neue Objekte hinzufügen *und* aus den anderen Gruppen entfernen. Um so etwas flächendeckend einzuführen, muss man IMHO Gehirnschmalz frei setzen und nachdenken.

 

http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

[MurdocX 965]

Ich hab ein kurzes Skript für eine OU geschrieben. Dies ist nur eine von vielen möglichen Alternativen wie so etwas geschrieben und gestaltet werden könnte. Dies könntest du als Ansatz nutzen.

 

EDIT: In verbesserter Form und nochmal übersichtlicher gestaltet. :)

#requires -Version 1 -Modules ActiveDirectory
Clear-Host

# Variablen
[STRING]$USER = ''
[STRING]$BENUTZER = ''
[ARRAY]$OU_USER = ''
[ARRAY]$GROUP_MEMBER = ''

Write-Host '[ AD-Abfragen... ] ' -NoNewline

# Abfragen
try
{
    $OU_USER = (Get-ADUser -SearchBase 'LDAP-PFAD...' -Filter {Name -like '*'} -Server FQDN).SamAccountName
    $GROUP_MEMBER = (Get-ADGroupMember -Identity 'AD-GRUPPE...' -Server FQDN).SamAccountName
    Write-Host "[OK]`n" -ForegroundColor Green
}
catch
{
    Write-Host "[Fehler]`n" -ForegroundColor Red
    Exit
}

Write-Host '[ Verarbeitung - OU-Benutzer]'

# Verarbeitung
ForEach ($USER in $OU_USER)
{
    # Prüfe die Benutzer, ob diese Mitglied der Gruppe sind.
    If ($GROUP_MEMBER -contains $USER)
    {
        Write-Host -Object ":: OU-Benutzer:'$USER' ist Mitglied der Gruppe" -ForegroundColor Green
    }
    else
    {
        Write-Host -Object ":: OU-Benutzer:'$USER' ist KEIN Mitglied der Gruppe!" -ForegroundColor Yellow
    }
}


Write-Host "`n[ Verarbeitung - Gruppen-Benutzer]"

ForEach ($BENUTZER in $GROUP_MEMBER)
{
    # Prüfe die Gruppenmitglieder ob der Benutzer in der OU vorhanden ist.
    If ($OU_USER -contains $BENUTZER)
    {
        Write-Host -Object ":: Gruppen-Benutzer:'$BENUTZER' existiert in der OU." -ForegroundColor Green
    }
    else
    {
        Write-Host -Object ":: Gruppen-Benutzer:'$BENUTZER' existiert NICHT in der OU!" -ForegroundColor Yellow
    }
}

Write-Host "`n[ Skript Ende ]"

bearbeitet 7. September 2015 von MurdocX