Wer in einer Domain ein sauberes Rechtekonzept fährt wird sehr wahrscheinlich auch keine Benutzer direkt auf Server in die lokale Administratorgruppe eintragen, sondern dies für einzelne Server über eine spezielle Gruppe machen.

    Dies hat mehrere Vorteile. Auf der einen Seite bleiben die Server "sauber", auf der anderen Seite kann man bei einem Administrativen Domainkonto direkt in den Gruppenmitgliedschaften sehen, wo der Benutzer überall drauf berechtigt ist.

    So kann z.B. für jeden Server, auf den individuell Adminsitratorrechte gewährt werden sollen, bei Bedarf eine Gruppe nach dem Namenschema "LG_Local Admins Server123" angelegt werden in die dann Benutzer aufgenommen werden, die lokale Administratorrechte auf Servern besitzten.

    Ein Script, dass dies realisiert würde z.B. wie folgt aussehen.

    Option Explicit
    On Error Resume Next
    
    Dim Mydomain
    Dim GlobalGroup
    Dim oDomainGroup
    Dim oLocalAdmGroup
    Dim oNet
    Dim strComputer
    Dim objUser
    Dim str_found
    
    Set oNet = WScript.CreateObject("WScript.Network")
    strComputer = oNet.ComputerName
    
    MyDomain = "domain.local"
    GlobalGroup  = "LG_Local Admins " & strComputer
    
    Set oDomainGroup = GetObject("WinNT://" & MyDomain & "/" & GlobalGroup & ",group")
    Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administrators,group")
    Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administratoren,group")
    
    For Each objUser in oLocalAdmGroup.Members
      If objUser.Name = GlobalGroup then
        str_found = 1
      End If
    Next
    
    If str_found <> 1 then
        oLocalAdmGroup.Add(oDomainGroup.AdsPath)
    End if
    
    'Nullify Variables
    Set Mydomain = Nothing
    Set GlobalGroup = Nothing
    Set oDomainGroup = Nothing
    Set oLocalAdmGroup = Nothing
    Set oNet = Nothing
    Set strComputer = Nothing

     

    Leave A Reply