Wer in einer Domain ein sauberes Rechtekonzept fährt wird sehr wahrscheinlich auch keine Benutzer direkt auf Server in die lokale Administratorgruppe eintragen, sondern dies für einzelne Server über eine spezielle Gruppe machen.
Dies hat mehrere Vorteile. Auf der einen Seite bleiben die Server "sauber", auf der anderen Seite kann man bei einem Administrativen Domainkonto direkt in den Gruppenmitgliedschaften sehen, wo der Benutzer überall drauf berechtigt ist.
So kann z.B. für jeden Server, auf den individuell Adminsitratorrechte gewährt werden sollen, bei Bedarf eine Gruppe nach dem Namenschema "LG_Local Admins Server123" angelegt werden in die dann Benutzer aufgenommen werden, die lokale Administratorrechte auf Servern besitzten.
Ein Script, dass dies realisiert würde z.B. wie folgt aussehen.
Option Explicit
On Error Resume Next
Dim Mydomain
Dim GlobalGroup
Dim oDomainGroup
Dim oLocalAdmGroup
Dim oNet
Dim strComputer
Dim objUser
Dim str_found
Set oNet = WScript.CreateObject("WScript.Network")
strComputer = oNet.ComputerName
MyDomain = "domain.local"
GlobalGroup = "LG_Local Admins " & strComputer
Set oDomainGroup = GetObject("WinNT://" & MyDomain & "/" & GlobalGroup & ",group")
Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administrators,group")
Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administratoren,group")
For Each objUser in oLocalAdmGroup.Members
If objUser.Name = GlobalGroup then
str_found = 1
End If
Next
If str_found <> 1 then
oLocalAdmGroup.Add(oDomainGroup.AdsPath)
End if
'Nullify Variables
Set Mydomain = Nothing
Set GlobalGroup = Nothing
Set oDomainGroup = Nothing
Set oLocalAdmGroup = Nothing
Set oNet = Nothing
Set strComputer = Nothing