Website-Icon .: blog cscholz.io :.

Windows: Domain Gruppe zu lokalen Administratoren hinzufügen

Wer in einer Domain ein sauberes Rechtekonzept fährt wird sehr wahrscheinlich auch keine Benutzer direkt auf Server in die lokale Administratorgruppe eintragen, sondern dies für einzelne Server über eine spezielle Gruppe machen.

Dies hat mehrere Vorteile. Auf der einen Seite bleiben die Server "sauber", auf der anderen Seite kann man bei einem Administrativen Domainkonto direkt in den Gruppenmitgliedschaften sehen, wo der Benutzer überall drauf berechtigt ist.

So kann z.B. für jeden Server, auf den individuell Adminsitratorrechte gewährt werden sollen, bei Bedarf eine Gruppe nach dem Namenschema "LG_Local Admins Server123" angelegt werden in die dann Benutzer aufgenommen werden, die lokale Administratorrechte auf Servern besitzten.

Ein Script, dass dies realisiert würde z.B. wie folgt aussehen.

Option Explicit
On Error Resume Next

Dim Mydomain
Dim GlobalGroup
Dim oDomainGroup
Dim oLocalAdmGroup
Dim oNet
Dim strComputer
Dim objUser
Dim str_found

Set oNet = WScript.CreateObject("WScript.Network")
strComputer = oNet.ComputerName

MyDomain = "domain.local"
GlobalGroup  = "LG_Local Admins " & strComputer

Set oDomainGroup = GetObject("WinNT://" & MyDomain & "/" & GlobalGroup & ",group")
Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administrators,group")
Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administratoren,group")

For Each objUser in oLocalAdmGroup.Members
  If objUser.Name = GlobalGroup then
    str_found = 1
  End If
Next

If str_found <> 1 then
    oLocalAdmGroup.Add(oDomainGroup.AdsPath)
End if

'Nullify Variables
Set Mydomain = Nothing
Set GlobalGroup = Nothing
Set oDomainGroup = Nothing
Set oLocalAdmGroup = Nothing
Set oNet = Nothing
Set strComputer = Nothing

 

Die mobile Version verlassen