Jump to content

Verwaltungsrechte für eine AD Gruppe (Managed by) per Script setzen ...


Direkt zur Lösung Gelöst von Squire,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich bin grad bisserl am Basteln (noch Urlaubszeit und noch wenig los).

 

Wir haben uns ein PowershellScript gebaut, bei dem wir einen Verzeichnisowner und einen Verzeichnisnamen per Variable angeben. Das Script legt dann in unserem DFS ein Verzeichnis an, es werden zwei korrespondierende AD Gruppen (Read/Modify)generiert, der Ownereintrag wird im Bemerkungsfeld der Gruppen eingetragen. Die Verzeichnisrechte werden durch das Script auf die beiden Gruppen gesetzt. Zusätzlich legt das Script eine "Verwaltungsgruppe" an. (Diese wird bisher manuell bei den zwei Gruppen als verwaltungsberechtigt eingetragen) 

 

... und hier hänge ich gerade. Wie setze ich per Script die Verwaltungsgruppe als Manager, der die beiden AD Gruppen verwalten kann? (Hintergrund: Ausgewählte Benutzer dürfen als Verzeichnisowner die Gruppenzugehörigkeiten selbst pflegen. (Nimmt uns viel Arbeit ab :-) )

 

Jemand ne Idee?

Link zu diesem Kommentar
  • Beste Lösung

Ich hab noch bisserl gesucht und ein Codeschnipsel gefunden und für mich angepasst

 

# Verwaltungsrechte "Managed by" für die Managegroup setzen

$group = Get-ADGroup -Identity $WriteGroup
$manager = Get-ADGroup -Identity $Managegroup
$NTPrincipal = New-Object System.Security.Principal.NTAccount $manager.samAccountName
$objectGUID = New-Object GUID 'bf9679c0-0de6-11d0-a285-00aa003049e2'
$acl = Get-ACL "AD:$($group.distinguishedName)"
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $NTPrincipal,'WriteProperty','Allow',$objectGUID
$acl.AddAccessRule($ace)
Set-ACL -AclObject $acl -Path "AD:$($group.distinguishedName)"

# damit es auch in der GUI mit angezeigt wird
Set-ADGroup $WriteGroup -ManagedBy $Managegroup

 

die ObjectGUID ist das ManageBy Feld

damit wird das WriteMember gesetzt und damit funktioniert auch das Verwalten für die Managegroup. Allerdings wird in der AD GUI das ManageBy nicht angezeigt - das bleibt leer

 

image.png.d1ed0a846bcd165c476ed2a2ba126700.png

 

 

 

@testperson erst durch Deinen Hinweis mit dem SET-ADGroup wird es dann in der GUI mitangezeigt

 

image.png.63e5723e812e89faaacd438945201fe0.png

bearbeitet von Squire
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...