Powershell: Computer soll sich selbst zur einer AD Gruppe hinzufügen

Wenn das Active Directory nicht manuelle OU’s für Desktops und Laptops hat, die auch noch akribisch gepflegt werden, gibt es hin und wieder die Notwendigkeit die Computer der Einen oder Anderen Benutzergruppe, also die Rechner der Laptop-Anwender bzw. Desktop Anwender separat zu bedienen. Der Microsoft Configuration Manager macht das recht einfach möglich. Nun kann ich entweder die Daten aus ConfigMgr. exportieren und in AD exportieren oder kann die Arbeit einem Script übergeben:

[snippet id=“557″]

Dieses Script, vorzugsweise als exe-Datei kompiliert, ermächtigt den Computer sich selbst in eine definierte Security Group aufzunehmen. Möglich macht das das übergeben von Benutzer-Namen und Kennwort eines berechtigten administrativen Benutzers. Durch das Kompilieren sind diese Daten verborgen und nicht so einfach einzusehen.

Das Script kann auch noch von Powershell 2 verarbeitet werden, da die CMDlets zum Befüllen der AD Gruppe auf dem Administrativen Server verwendet werden. Selten haben Benutzer das dafür notwendige Module lokal vorhanden.

Wichtig: Der administrative Benutzer muss lokaler Administrator auf dem Administrativen Server sein, damit die Remote Powershell ausgeführt werden kann. Ggf. können diese Rechte auch über WinRM separate vergeben werden. Ebenfalls muss dieser administrative Benutzer berechtigt sein Änderungen an AD Security Groups vorzunehmen.

1 Kommentar

  1. christiang79 (Beitrag Autor)

    Kompilieren ist zB. mit Sapien Powershell Studio möglich.

    Antworten

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.