Jump to content

Laufwerkszuordnung in verschachtelten Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

eine Lösung, die zumindest eine einheitliche Plattform (Batch) einsetzt, wäre

whoami /groups /fo csv | findstr <Gruppenname> > nul
if ERRORLEVEL 0 net use Z: \\server\SHARE

 

Eine Lösung, die gar keine Skriptsprache nutzt, habe ich bereits vorgeschlagen.

 

Ob es sich lohnt, sich mit dem API-Wrapper für PowerShell (und somit ja auch für VBS, ist ja alles P/Invoke) zu beschäftigen, muss ich noch bewerten.

bearbeitet von cj_berlin
Link zu diesem Kommentar
vor 48 Minuten schrieb daabm:

Kann man leider nicht...

1. Liefert nur SIDs zurück

2. Funktioniert nicht, wenn AppLocker läuft und es nicht als Admin läuft (Constrained Language Mode - danke MS...)

1. wäre ja kein Hindernis, denn man kann im Skript auch gegen die SID der gewünschten Gruppe filtern, die ist ja schnell nachgeschaut. Und ohne Verbindung zur Domäne liefert whoami ja auch nur SIDs.

2. wenn das Skript signiert ist, würde es ja im Full Language Mode laufen - oder?

Link zu diesem Kommentar

Ich weiss wie ich an die Befehle , Parameter etc. herankomme und kann mir dann kleinere Scripte zusammenstellen und bauen, aber ja 100%ig angekommen bin ich nicht.
Der Scriptumbau wäre sowieso eher ein "Privatprojekt" für das Selbststudium und wird somit eh ein bisschen dauern. Und ich werde vermutlich auch länger daran sitzen, als jemand der jeden Tag intensiv mit der Shell arbeitet, aber das Wissen ist es mir wert am Ende.
 
Die Policy umstellen will ich eigentlich nicht, um nicht, damit die User nicht jeden Kram ausführen können, der Ihnen über den Weg läuft. Da kenn ich leider meine Pappenheimer, die erst alles anklicken und dann fragen was Sie da gemacht haben.

Link zu diesem Kommentar
vor 8 Stunden schrieb Alith Anar:

Die ExecutionPolicy ist auf dem Standard, also remotesigned. Also müsste ich es signieren.

Nein, wenn es nicht "remote" ist. Remote = von einem Server kommend, der in den Internet Explorer Security Zones nicht "Intranet" ist. Da ein Logon-Skript in der Regel aus SYSVOL kommt, wäre es im Zweifel nicht "remote".

Außerdem, wenn Du das Skript im GPO-Zweig "Scripts" ausführst, wird die Execution Policy für diese Ausführung aus "Bypass" gestellt.

Link zu diesem Kommentar

So richtig Straight ist das das nicht, hat auch ein paar Stolpersteine. Meines Wissens gibts keine Api die das direkt kann. Wenn doch, ich wäre empfänglich. =)

Hatte ich mir mal vor ~15 Jahren mit VB die Zähne dran ausgebissen bis ich nen Code gefunden habe. Die Anwendung sollte AD-Gruppenzugehörigkeit nutzen für allerelei Bereichtigungen. Der Code war dann vereinfach gesagt eine Abfrage von AD mittels ADO über ein Service-Konto. Das Service-Konto war nötig weil ein normaler User nicht alle gewünschten Parameter auslesen durfte. Details weiss ich nicht mehr zu 100%, meine es war nötig für das auflösen der SID.

-> Mitunter problematisch in einem Script wenn das PW im Klartext vorliegt. Eventuell wäre es denkbar eine Mini-Mini Anwendung zu schreiben wo dann der Krempel verschlüsselt ist und dann direkt per Kommandozeile geprüft wird. Habe ich mal mit VB6 gemacht, kann ich aber nicht auffinden.

 

 

Habe den Code noch kurz überflogen, die Basis war von Joe Kaplan. Basiert auf den bereits genannten "TokenGroups". So richtig straight-forward ist es nicht, braucht schon ein paar Apis und ein paar Eigenheiten gibt es auch. Abfrage eines verfügbaren DC's, SID (Octet) in String umwandeln, einzelne Mitgliedschaften sind als String, mehrere als Array hinterlegt usw. Könnte das Modul zu Verfügung stellen fals gewünscht, dann kannst die notwendigen Befehle extrahieren. Dürfte vermutlich in VBS zu grossen Teilen auch zu verwenden sein. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...