[Problem] AD administration

[MarquiS 10]

hallo board

 

ich hoffe ihr könnt mir weiter helfen

 

folgendes problem ich habe hier ein netz mit ca. 150 WS

und 700 benutzer die dom steht und meine GPO's werden problemlos übernommen nur bin ich nicht immer verfügbar :) da dies nur ein praktikum ist :) und ich div. sachen etwas benutzer freundlicher gestalten will falls mal kein admin in der nähe ist (sicherheits beauftragter)

 

folgendes die 700 benutzer ändern sich aller paar jahre

und nun suche ich ein script (perl!) mit dem ich einfach die aktuelle user liste ins AD einpflegen kann bzw nicht ich sonder halt derjenige der sich mit AD nicht auskennt

 

hier mal meine gedanken

 

perl script:

 

user liste (exel csv export trennzeichen ";")

 

syntax * Nachname;Vorname1;Vorname2

wobei es nicht immer Vorname1 und 2 gibt :)

 

diese bekommet perl :)

und pflegt diese ins AD ein

Eigene OU=Benutzer und in Benutzergruppe

 

login = nachname vorname1 vorname2

pass = sein eigenes

 

(muss leider so gemacht werden)

 

pass. soll nach erster anmeldung geändert werden :)

 

nun kommt das grosse aber da sich die liste mal mehr mal weniger ändert soll das perl script user aus AD löschen die nicht in der aktuellen liste stehen (csv)

 

desweitern soll das soweit alles autom. funktion. das mein ausergorener benutzer (sicherheits beauft. :) )

einfach das script startet bissle wartet und alles ist ok :)

 

<< ich habe keine ahnung wie ich das anstellen soll >>

 

per MINIkleines perl und bat script bekomme ich die user zwar rein aber das ist net das was ich will

zumals diese script es nicht in die eigene OU macht

naja mit meinen wenigen perl kenntissen

 

#!perl -w
#      script um user ins AD ein zu pflegen
#      usernamen ($login) müssen in datei user.csv (Excel Export)
#      vorhanden sein
#      dieses perl script erstellt eine makebat.bat datei welche
#      die eigentliche aufgabe übernimmt :)
#      aufbau der bat datei:
#      net user "$login" "$pass" /add /workstations:*
#      net group "$grp" "$login" /add
#      desweiteren wird eine pass.txt angelegt welche
#      aller erzeugten passwörter samt login enthält
####################################
use win32;
use strict;
#### erstmal paar vars erstellen ####
my $file = "user.csv";
my $bat  = "makebat.bat";
my $passfile = "pass.txt";
my $dos1 = "net user";
my $dos2 = "net group";
my $adgroup = "schueler";
my $options  = "/add /workstations:*";
my $user;
my %liste;
my @zeilen;
my $zeile;
my $login;
my $nachname;
my $vorname;
my $pass = "21739376921"; 
#### öffne user file ####
open (HANDLER, $file);
    @zeilen = <HANDLER>;
close ( HANDLER);
#### schreibe *.bat datei ####
open (HANDLER,">$bat");
    open (PASS, ">$passfile");
    foreach $zeile ( @zeilen) {
       ($nachname,$vorname) = split ( ";",$zeile);
       chomp($nachname);
       chomp($vorname);
       $pass = $pass + 12846371517; # erstelle pass :)
       print HANDLER $dos1 . " \"$vorname $nachname\" " . " " . $pass . " " . $options . "\n";
       print HANDLER $dos2 . " " . $adgroup . " \"$vorname $nachname\" " . " " . "/add" . "\n";
       print  PASS "Login:" . "$vorname $nachname" . " " . "Passwort:". $pass . "\n";
    }
    close (PASS);
close (HANDLER);
print "$bat und $passfile wurden erstellt";

so noch ein weiteres problem. ich habe hier in der firma eine kleine testumgebung dafür (siehe oben) mom. pflege ich einpaar user per hand ein um zu testen

das momen. prob welches ich habe ist folgendes

user1 = "eigene dateien" wird umgel. auf \\server\freigabe\%username%

dies mache ich per GPO das funktioniert auch prima nur habe ich dan als admin keine zugriff auf \%username%\.. und eine andere gruppe die auch auf diesesn ordn. zugriff haben muss auch net (nur auf \freigabe\ kann ich als admin zugreiffen) gebe ich aber in den gpo KEIN exklusiv. recht kann jeder darauf zugreiffen das ist auch nicht gewollt wie kann ich diese probl. lösen habe scho versucht die übergeordneten berrechtigungen zu ändern aber da wird kein user verz. beim anmelden angelegt f:\freigabe\username\eigenedateien <- darauf darf admin,username und gruppexy zugreiffen verz. "username" wird beim anmelden autom. erzeugt breche ich die vererbung von "freigabe" wird kein ordn. "username" angelegt freigabe MUSS "jeder" vererben damit es funktion. das ist doof :)

kann man das irgendw. hinbekommen

das ich

1. in den GPO "kein exklusiv" recht vergebe

2. admin,username und gruppexy nur zugreiffen kann

(auf den umgeleit. ordner)

 

3. problem :)

kann man für obige verz. (umgeleit. "eigene dateien")quotas festlegen ?

ich habe hier in der firma leider nur 35 GB platz

für alle 700 user diese möcht ich halt gern

auf alle gerecht verteilen (geht leider net anders)

und wenn ja wie stelle ich das an ?

immo bin ich soweit das man ja nur für laufwerke quotas erstellen kann aber net für verz.

 

jedenfalls danke scho mal im vorraus

ich hoffe ihr versteht mein problem

MarquiS

[nap73 10]

problem 2: wenn du das verzeichnis direktansprichst hast ein problem jedoch wenn du die übergeordnete freigabe ansprichst funktioniert alles.

problem 3: sicher kannst pro user einen speicherplatz beschränken jedoch 35 gb auf 700 auf zu teilen? viel spass

[MarquiS 10]

hi

 

deine antw. zu 2. ist mir nicht ganz klar :)

das ist ja gerade mein prob.

\\server\freigabe\%username%

bis zu ..\freigabe\ is ja alles ok aber ich möcht halt

auf %username% div. rechte legen siehe mein text

 

admins,%username%,gruppexy dürfen darauf zugreiffen nur funktion. das ja net nehme ich habe in den GPO das exklusi. recht raus kann wieder jeder zugreiffen das ist auch nicht gewollt

 

änder ich hingegen die rechte von ..\freigabe\ wird das verz. für %username% nicht erstellt ... ich muss also

auf ..\freigabe\ "jeder" vollzugriff zulassen damit ist sicher gestellt das das %username% verz. angelegt wird

nur eben nicht mit den rechten die ich als admin will :)

 

zu 3. und wie bewerkstelle ich das ?

 

thx