W2k Pro Benutzer per script in die Admin Gruppe

[wblasius 10]

Hallo,

kennt jemand eine Möglichkeit die Gruppe der Domänen-Admins per script in die lokale Gruppe der Administratoren einer W2K workstation zu befördern ?

Grund: Ich muß auf ca 80 Clients Admin Rechte für die Domänen-Admins der Domäne erhalten und hab keine Lust jede Maschine seperat anzufassen

 

Vielen Dank für Eure Hilfe schon im vorraus !

 

Werner

[lennu 10]

Moin moin,

 

wenn die Rechner im Active Directory eingetragen sind, ist die Gruppe der Domänen-Admins eigentlich automatisch Bestandteil der lokalen Admin-Gruppe.

 

Gruß,

Lennu

[wblasius 10]

Hallo,

schon richtig, aber nicht von einer Fremddomäne !

Das Problem ist ich muß zwei AD Strukturen zusammenführen und

muß für die Profilübernahme der Clients von der Zieldomäne aus

Adminrechte auf den Rechnern haben. (ADMT)

--Rechner sind in der Domäne_alt

--Domäne_alt wird in bestehende Domäne integriert mit ADMT

--Benuzter bekommt, wenn der Rechner die Domäne wechselt

neues Profil -user.domäne

--mit ADMT kann man dies verhindern, wenn man von der neuen

Domäne auf den Rechner in der alten Domäne Admin rechte hat

 

Ich hoffe ich habe mein Problem etwas verdeutlichen können :-)

 

Gruß

 

Werner

[NightFlight 10]

hi,

 

was würdest du davon halten, die gruppe der neuen domänenadmins zu mitgliedern der alten domänenadmins hinzuzufügen und umgekehrt??? 2 way trust sollte allerdings aktiv sein.

 

 

mit nem netten gruß

 

 

 

NightFlight

 

 

noch ne frage, wo sind die profile gespeichert lokal oder auf einem server???

[wblasius 10]

hi,

 

die Gruppe der Domänen-Admins ist eine Globale Gruppe !

Globale Gruppen können allerdings nicht zu einer anderen Globalen Gruppe hinzugefügt werden ! :-( leider

 

2 wax trust ist aktiv - Administratoren haben das selbe Passwort

 

Gruß

 

Werner

[Perin 10]

Hi wblasius,

 

Lösung 1:

 

Per GPO auf die OU der Computerkonten der neuen Domäne die Gruppenmitgliedschaften festlegen (meiner Meinung nach die bessere Methode)

 

 

Lüsung 2:

 

Als Startup-Skript (NICHT als Logon-Script) mit dem Befehl NET USER (bitte mal mit /? ausführen und ausprobieren). Problem dieser Methode: Muss mit Admin-Rechten ausgeführt werden.

 

cu,

 

Perin

[wblasius 10]

Hi Perin,

Lösung1: da die Computerkonten mit dem ActiveDirectoryMigationTool ADMT in die neue Domäne erst migriert werden müssen, kann ich Sie auf diesem weg leider nicht bearbeiten

 

Lösung2: wie soll mir NET USER behilflich sein ?

und NET GROUP funktioniert nur auf einem DC

 

Nochmals zur Aufgabenstellung

Auf ca. 80 W2kPro Clients die in der Domäne X ihre Computeraccounts haben müssen die Gruppe der Domänen-Admins der Domäne Y in die Gruppe der W2kPro Administratoren per script aufgenommen werden.

Jede Domäne ist in einem Forrest untegebracht und per bidirektionalem Trust miteinander verbunden.

 

Gruß

 

Werner

[christian1 10]

Hallo Werner,

 

globale Gruppe geht nicht in globale Gruppe.....

 

Ist die zu migrierende Domäne eine NT 4 Dom, oder w2k im gemischten Modus?

 

Gruß Christian

[grizzly999 11]

Original geschrieben von christian1

Hallo Werner,

 

globale Gruppe geht nicht in globale Gruppe.....

 

Ist die zu migrierende Domäne eine NT 4 Dom, oder w2k im gemischten Modus?

 

Gruß Christian

Mitglieder aus anderen Domänen können nicht Mitglied in einer globalen Gruppe werden.

 

@wblasisus: Perin Lösung Nr. 1 ist die Nummer 1 :D

Warum soll das nicht gehen, die Gruppenrichtline in der alten Domäne zu erstellen?

Fehlen uns etwa Informationen?

 

 

grizzly999

[the_brayn 10]

Hiho grizzly,

 

>Per GPO auf die OU der Computerkonten der neuen Domäne die Gruppenmitgliedschaften festlegen

 

Zitat op

 

>Auf ca. 80 W2kPro Clients die in der Domäne X ihre Computeraccounts haben müssen die Gruppe der

>Domänen-Admins der Domäne Y in die Gruppe der W2kPro Administratoren per script aufgenommen werden.

 

>Warum soll das nicht gehen, die Gruppenrichtline in der alten Domäne zu erstellen?

 

Die Computeraccounts sind schon in der neuen Domäne.

 

Gruß Guido

[christian1 10]

Original geschrieben von grizzly999

Mitglieder aus anderen Domänen können nicht Mitglied in einer globalen Gruppe werden.

 

 

grizzly999

 

Japp, da hatte ich einen Denkfehler :o :)

 

Gruß Christian

[grizzly999 11]

Original geschrieben von the_brayn

Die Computeraccounts sind schon in der neuen Domäne.

 

Gruß Guido

[Ketzerisch ON] ...Und?!?![Ketzerisch OFF] :D

 

Wo das Computerkonto ist, spielt keine Rolle, solange ich den Trust habe ;)

 

grizzly999

[the_brayn 10]

Hiho,

 

>Wo das Computerkonto ist, spielt keine Rolle, solange ich den Trust habe

 

muss die GPO nicht da sein, wo die PC-Accounts sind da es eine Computerrichtlinie ist?

 

Gruß Guido

[wblasius 10]

Hi an alle,

 

@perin @grizzly999

Lösung 1 hat nun doch funktioniert http://www.mcseboard.de/images/icons/icon14.gif

Thumbs up

unter http://support.microsoft.com/?kbid=320065 kann man genau nachlesen wie die GPO zu konfigurieren ist

 

@grizzly999

the_brayn hat recht die GPO muß in der Domäne konfiguriert werden in die Computeraccount sind

 

 

Gruß

und Danke an alle die sich beteiligt haben

 

Werner

[grizzly999 11]

muss die GPO nicht da sein, wo die PC-Accounts sind da es eine Computerrichtlinie ist?

Ja, das schon, aber ich meinte, ob die Globale Gruppe, die über eingeschränkte Gruppen in die Globale soll, sich dann in einer trusted Domain befindet, das ist egal. Aus dieser Sichtweise war meine Aussage gemeint, egal wo sich das Computerkonto befindet (egal ob in der Domain wo die globale Gruppe ist, oder ob in der trusting Domain). Dass die GPO in der Domäne gemacht wird, wo sich das Computerkonto befindet, davon bin ich selbstredend ausgegangen ;)

 

Aber jetzt geht's ja wie gewünscht :)

 

 

grizzly999