Jump to content

Laufwerkszuordnung in verschachtelten Gruppen


Recommended Posts

Moin,

 

eine Lösung, die zumindest eine einheitliche Plattform (Batch) einsetzt, wäre

whoami /groups /fo csv | findstr <Gruppenname> > nul
if ERRORLEVEL 0 net use Z: \\server\SHARE

 

Eine Lösung, die gar keine Skriptsprache nutzt, habe ich bereits vorgeschlagen.

 

Ob es sich lohnt, sich mit dem API-Wrapper für PowerShell (und somit ja auch für VBS, ist ja alles P/Invoke) zu beschäftigen, muss ich noch bewerten.

Edited by cj_berlin
Link to comment
vor 48 Minuten schrieb daabm:

Kann man leider nicht...

1. Liefert nur SIDs zurück

2. Funktioniert nicht, wenn AppLocker läuft und es nicht als Admin läuft (Constrained Language Mode - danke MS...)

1. wäre ja kein Hindernis, denn man kann im Skript auch gegen die SID der gewünschten Gruppe filtern, die ist ja schnell nachgeschaut. Und ohne Verbindung zur Domäne liefert whoami ja auch nur SIDs.

2. wenn das Skript signiert ist, würde es ja im Full Language Mode laufen - oder?

Link to comment

Ich weiss wie ich an die Befehle , Parameter etc. herankomme und kann mir dann kleinere Scripte zusammenstellen und bauen, aber ja 100%ig angekommen bin ich nicht.
Der Scriptumbau wäre sowieso eher ein "Privatprojekt" für das Selbststudium und wird somit eh ein bisschen dauern. Und ich werde vermutlich auch länger daran sitzen, als jemand der jeden Tag intensiv mit der Shell arbeitet, aber das Wissen ist es mir wert am Ende.
 
Die Policy umstellen will ich eigentlich nicht, um nicht, damit die User nicht jeden Kram ausführen können, der Ihnen über den Weg läuft. Da kenn ich leider meine Pappenheimer, die erst alles anklicken und dann fragen was Sie da gemacht haben.

Link to comment
vor 8 Stunden schrieb Alith Anar:

Die ExecutionPolicy ist auf dem Standard, also remotesigned. Also müsste ich es signieren.

Nein, wenn es nicht "remote" ist. Remote = von einem Server kommend, der in den Internet Explorer Security Zones nicht "Intranet" ist. Da ein Logon-Skript in der Regel aus SYSVOL kommt, wäre es im Zweifel nicht "remote".

Außerdem, wenn Du das Skript im GPO-Zweig "Scripts" ausführst, wird die Execution Policy für diese Ausführung aus "Bypass" gestellt.

  • Like 1
Link to comment

So richtig Straight ist das das nicht, hat auch ein paar Stolpersteine. Meines Wissens gibts keine Api die das direkt kann. Wenn doch, ich wäre empfänglich. =)

Hatte ich mir mal vor ~15 Jahren mit VB die Zähne dran ausgebissen bis ich nen Code gefunden habe. Die Anwendung sollte AD-Gruppenzugehörigkeit nutzen für allerelei Bereichtigungen. Der Code war dann vereinfach gesagt eine Abfrage von AD mittels ADO über ein Service-Konto. Das Service-Konto war nötig weil ein normaler User nicht alle gewünschten Parameter auslesen durfte. Details weiss ich nicht mehr zu 100%, meine es war nötig für das auflösen der SID.

-> Mitunter problematisch in einem Script wenn das PW im Klartext vorliegt. Eventuell wäre es denkbar eine Mini-Mini Anwendung zu schreiben wo dann der Krempel verschlüsselt ist und dann direkt per Kommandozeile geprüft wird. Habe ich mal mit VB6 gemacht, kann ich aber nicht auffinden.

 

 

Habe den Code noch kurz überflogen, die Basis war von Joe Kaplan. Basiert auf den bereits genannten "TokenGroups". So richtig straight-forward ist es nicht, braucht schon ein paar Apis und ein paar Eigenheiten gibt es auch. Abfrage eines verfügbaren DC's, SID (Octet) in String umwandeln, einzelne Mitgliedschaften sind als String, mehrere als Array hinterlegt usw. Könnte das Modul zu Verfügung stellen fals gewünscht, dann kannst die notwendigen Befehle extrahieren. Dürfte vermutlich in VBS zu grossen Teilen auch zu verwenden sein. ;)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...