Jump to content
kaineanung

Kann man Sicherheitsgruppen exportieren und in anderer Domäne mit neuer SID importieren?

Recommended Posts

XML läßt sich recht gut skripten. Das XML-Schema der Group Policy Preferences ist gut dokumentiert. Das läßt sich also prima skripten, wenn man den Bedarf hat :-)

 

Edited by daabm

Share this post


Link to post
Share on other sites
Am 1.10.2019 um 23:44 schrieb daabm:

XML läßt sich recht gut skripten. Das XML-Schema der Group Policy Preferences ist gut dokumentiert. Das läßt sich also prima skripten, wenn man den Bedarf hat :-)

An dem Thema war ich mal dran. Die Zielgruppenadressierung ein riesiges Thema. :-)

 

Dann lieber als XML exportieren, mit Notepad++ die Einträge ersetzen und wieder via Copy&Paste einfügen.

Share this post


Link to post
Share on other sites

Mark Heitbrink hatte da mal ein Tool dafür. Die Firma hat aber leider zugemacht und das Tool ist nicht mehr zu finden...

 

Und ich brauch's nicht, sonst hätte ich schon längst ein Skript gebaut, das den Export und Import übernimmt und dabei on the fly gleich passende Migtables inkl. GPP erstellt. Aber es gibt bei GPP genügend Möglichkeiten, mit Variablen zu arbeiten, so daß man gut ohne Migtables auskommt.

Share this post


Link to post
Share on other sites

Leider funktioniert das mit den Variablen nicht.

 

Ich habe jetzt eine TEST-GPO erstellt in der folgendes (nur zum Testen) eingestellt ist:

 

Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Verknüpfungen

 

Reiter 'Allgemein':

Verknüpfung hinzufügen

Aktion: Aktualisieren

Name: Test-Link

Zieltyp: Dateisystemobjekt

Speicherort: Desktop

Zielpfad: C:\Windows\notepad.exe

Starten in: C:\Windows

Tastenkombination: Keine

Ausführen: Normales Fenster

 

Reiter 'Gemeinsame Optionen':

- Haken bei 'Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)

- Haken bei 'Zielgruppenadressierung auf Elementebene'

Zielgruppenadressierung:

%LogonDomain%\HBA

 

(HBA ist eine Sicherheitsgruppe in der Domäne)

 

So, wenn ich das jetzt teste (schon in der ursprünglichen Domäne ohne es erst noch zu migrieren) wird KEINE Notepad-Verknüpfung auf dem Desktop erstellt.

Benutze ich den Picker und picke mir die Gruppe 'HBA' aus, so wird die Verknüpfung erstellt.

 

Somit ist klar: irgendwas läuft schief.

 

Hilfeee?

Share this post


Link to post
Share on other sites
vor 7 Stunden schrieb kaineanung:

Zielgruppenadressierung:

%LogonDomain%\HBA

Gibt es denn die Variable %LogonDomain% in der Commandline, wenn Du ein SET [ENTER] eingibst? Woher hast Du die Variable?

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb Sunny61:
vor 18 Stunden schrieb kaineanung:

Zielgruppenadressierung:

%LogonDomain%\HBA

Gibt es denn die Variable %LogonDomain% in der Commandline, wenn Du ein SET [ENTER] eingibst? Woher hast Du die Variable?

Wenn ich im Feld 'Gruppe' der Zielgruppenadressierung bin und F3 drücke, werden alle Variablen aufgelistet. U.a. eben diese %LogonDomain% und eben auch genauso wie die zwei Vorposter es auch erwähnt hatten.

In der Zielgruppenadressierung sieht es dann wie folgt aus:

 

Benutzer ist Mitglied der Sicherheitsgruppe "%LogonDomain%\HBA"

 

Und das es diese Variable gibt und die auch in den GPOs 'gültig' ist und aufgelöst wird, habe ich getestet indem ich statt eines fixen Namen für diesen Link diese %LogonDomain%-Variable benutze.

Der Link wird dann mit dem Domänennamen erstellt wenn ich die Ziegruppenadressierung weglasse oder mit dem Picker die HBA-Gruppe auswähle (und somit die SID dann auch angezeigt und fest hinterlegt wird). Das habei ch nur gemacht um einmalig zu sehen ob die GPO diese Variable überhaupt kennt. Und ja, das tut sie, zumindest in diesem Zusammenhang.. In der Ziegruppenadressierung greift dies so jedoch nicht.. :(

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...