Sicherheitsgruppe als Mitglied einer anderen mit dsmod

[lefg 276]

Hallo Gemeinde,

 

ich möchte eine Sicherheitsgruppe zum Mitglied einer anderen machen.

 

Das soll per Batch geschehen. Leider finde ich bei dsmod keine Option dafür.

 

Kann mir bitte jemand einen Tipp geben?

 

Dank für Aufmerksamkeit und Rat.

 

Edgar

[carlito 10]

Hallo Gemeinde,

 

ich möchte eine Sicherheitsgruppe zum Mitglied einer anderen machen.

 

Das soll per Batch geschehen. Leider finde ich bei dsmod keine Option dafür.

 

Mit einer Verknüpfung von dsget und dsmod. Beispiel:

dsget group "CN=Info USA,OU=Verteilerlisten,DC=microsoft,DC=com" -members | dsmod group "CN=Info Europa,OU=Verteilerlisten,DC=microsoft,DC=com" -addmbr

 

Im Abschnitt "dsmod group" gibt es nach 1-2 Seiten scrollen weitere Beispiele:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/3558c421-ba3d-4b8f-a107-b9058cc0f286.mspx

[lefg 276]

Hallo Carlito,

 

habe Dank für den Tipp.

 

Falls ich das Beispiel richtig interpretiere, werden damit die User der einen Gruppe auch der anderen Gruppe hinzugefügt.

 

Das könnte auch schon beim Anlegen der User und deren Aufnahme in ihre Stammgruppe geschehen. Ich möchte das eigentlich vermeiden.

 

Mein Gedanke ist, nehme nur die untergeordnete Sicherheitsgruppe in die übergeordnete auf, nicht die Benutzer selbst.

 

Gruß

 

Edgar

[carlito 10]

Falls ich das Beispiel richtig interpretiere, werden damit die User der einen Gruppe auch der anderen Gruppe hinzugefügt.

 

Ja.

 

Das könnte auch schon beim Anlegen der User und deren Aufnahme in ihre Stammgruppe geschehen.

 

Stimmt.

 

Mein Gedanke ist, nehme nur die untergeordnete Sicherheitsgruppe in die übergeordnete auf, nicht die Benutzer selbst.

 

Hm.

[lefg 276]

Ich bin da gestern nicht mehr weitergekommen.

 

Für den Fall, das z.B. Grizzly, Kohn oder ein anderer Kundiger reinschaut, schiebe ich dieses Ding mal nach oben.

[IThome 10]

Hi Edgar,

 

ich habe mir eine OU in der Domäne CONTOSO.COM (Domänenfunktionsebene Windows Server 2003) erstellt, die TEST heisst. In dieser OU befinden sich 2 globale Sicherheitsgruppen mit Namen Gruppe1 und Gruppe2. Ich habe mit

DSMOD group "CN=Gruppe1,OU=TEST,DC=CONTOSO,DC=LOCAL" -addmbr "CN=GRUPPE2,OU=TEST,DC=CONTOSO,DC=LOCAL"

der Gruppe1 die Gruppe2 zugefügt. Als 2. Versuch habe ich mir eine zweite OU TEST1 angelegt und dort zwei globale Sicherheitsgruppen platziert (Gruppe3 und Gruppe4). Mit

DSQUERY group "OU=TEST1",DC=CONTOSO,DC=LOCAL" -name Gr*|DSMOD group "CN=Gruppe1,OU=Test,DC=CONTOSO,DC=LOCAL" -addmbr

habe ich die Gruppen Gruppe3 und Gruppe4 der Gruppe1 zugefügt.

Ich befürchte aber, dass das nicht so ganz das ist, was Du möchtest ...

 

Gruss

 

Sven

[lefg 276]

Hallo Swen,

 

danke für die Antwort.

 

Du hast es schon geahnt.

 

Mit der Operation wurde ja nicht eine Sicherheitsgruppe der anderen hinzugefügt, sondern die Mitglieder einer Gruppe auch der andern hinzugefügt (-addmbr).

 

Dank und Gruß

 

Edgar

[IThome 10]

Ich habe nach dem Zufügen kontrolliert, was da passiert ist. Die Gruppen2,3 und 4 sind Mitglieder der Gruppe1. Ich werde die Gruppen noch mal mit Mitgliedern aller Art füllen und schaue, was dann passiert.

Ich melde mich gleich wieder :)

edit: Wie ich schon geschrieben habe, die Gruppen2,3 und 4 werden durch diese Befehle Mitglieder der Gruppe1. Die Member der Gruppen2,3 und 4 haben sich natürlich nicht verändert. Mit -addmbr füge ich ja ein Mitglied zu, ich gebe nur den DN eine Gruppe an

Irgendwie beschleicht mich aber das Gefühl, dass wir hier sauber aneinander vorbei reden :D

[lefg 276]

Es kann sein, das ich mich irre. Ich werde deine Empfehlung nacher mal durchtesten.

 

Wenn ich den Parameter -addmbr sehe, denke ich, die Mitglieder der einen Gruppe werden auch der anderen hinzugefügt.

[IThome 10]

Aber nur indirekt (soll heissen, die Mitglieder der Gruppe erben natürlich alle Berechtigungen), die Mitglieder der zuzufügenden Gruppe werden nicht der anderen Gruppe zugefügt, sondern nur die Gruppe selbst (ich gebe ja auch nur den Gruppen-DN an). Es wird in der Zielgruppe auch nur der zugefügte Gruppenname unter Mitglieder aufgeführt.

[lefg 276]

Swen mein Freund,

 

du bist ein Grosser, es funktioniert.

set filename=%1
set filename=%filename:"=%
set Group=%filename:~15,-4%

set domain=DC=2Lubeca,DC=loc
set Edu=BAFS
set Voc=BA

:create OU for Education
dsadd OU "OU=%Edu%,%domain%"

:create OU for Vocation
dsadd OU "OU=%Voc%,OU=%Edu%,%domain%"

:create OU for Group
dsadd OU "OU=%Group%,OU=%Voc%,OU=%Edu%,%domain%"

:create sec Group for Education
dsadd Group "CN=%Edu%,OU=%Edu%,%domain%"

:create sec Group for Vocation
dsadd Group "CN=%Voc%,OU=%Voc%,OU=%Edu%,%domain%"

:create sec Group for user
dsadd Group "CN=%Group%,OU=%Group%,OU=%Voc%,OU=%Edu%,%domain%"

dsmod group "CN=%Voc%,OU=%Voc%,OU=%Edu%,%domain%" -addmbr "CN=%Group%,OU=%Group%,OU=%Voc%,OU=%Edu%,%domain%" 

dsmod group "CN=%Edu%,OU=%Edu%,%domain%" -addmbr "CN=%Voc%,OU=%Voc%,OU=%Edu%,%domain%"

Ich sage danke. Damit bin ich ein Stück weiter.

 

Ich hätte das natürlich mit der GUI machen können, per Skript bringt es aber erst richtig Spass.

 

Es ist Teil eines Sriptes zum Anlegen von Benutzern, Gruppen und Verzeichnissen. Weiter werden Berechtigungen auf die Verzeichnisse vergeben und der Besitz geändert.

 

Edgar

[IThome 10]

Ich würde bei Dir mal gerne in die Lehre gehen, was das skripten angeht ... :)

 

Und jetzt feiere ich schön weiter und wünsche Dir auich einen guten Rutasch ...