Domain Group hinzufügen der Local Group

[Binchen 10]

Habe da ein Problem.

Möchte eine Domänen Gruppe der Lokalen Power User hinzufügen.

Eine Batch Datei und ein .vbs Script habe ich schon welches mir das Gewünschte Ergebnis liefert.

Problem ist nur diese laufen nur unter Administrator Rechten?

Wie kann ich so eine Batch Datei oder ein Script beim Anmelden Ausführen ohne das ich mich als Admin Anmelden oder das Kennwort eingeben muß laufen lassen kann (ca. 200 Pc's)? In der GPO beim Anmelden habe ich es schon Probiert funktionier aber auch nur wenn man Administrator ist. Wie kann ich die Befehle im Script Abarbeiten lassen als Administrator? Meine Script Erfahrung ist sehr dürftig.

[lefg 276]

Hallo,

 

geht das nicht per Gruppenrichtlinie? Ich habe da den Begriff Eingeschränkte Gruppen im Gedächnis. Das Thema wurde schon öfters behandelt. Versuche es doch bitte mal mit der Boardsuche. Auch Google wird helfen, denke ich.

 

Viel Erfolg

Edgar

[carlito 10]

Wie kann ich so eine Batch Datei oder ein Script beim Anmelden Ausführen ohne das ich mich als Admin Anmelden oder das Kennwort eingeben muß laufen lassen kann (ca. 200 Pc's)?

 

Probiere mal das Skript mit 'runas' zu starten.

[lefg 276]

Wie kann ich so eine Batch Datei oder ein Script beim Anmelden Ausführen ohne das ich mich als Admin Anmelden oder das Kennwort eingeben muß laufen lassen kann (ca. 200 Pc's)? In der GPO beim Anmelden habe ich es schon Probiert funktionier aber auch nur wenn man Administrator ist. Wie kann ich die Befehle im Script Abarbeiten lassen ... ? ...

 

Wurde es auch in der GPO/Computerkonfiguration probiert?

[the_brayn 10]

Hiho,

 

mir fallen da zwei Möglichkeiten ein:

 

die elegante per GPO: http://www.grurili.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

 

die zweite dein Script als Startscript unter dem Systemaccount laufen lassen.

 

Gruß Guido

[Binchen 10]

>Wurde es auch in der GPO/Computerkonfiguration probiert?

ja ohne Erfolg (weiß auch nicht warum funzt nur mit Admin Rechten)

 

möchte aber keine Eingeschränkten Gruppen definieren.

 

bei runas muß man ja das Passwort eingeben. Genau das möchte ich vermeiden bei ca. 200 Pc's ist das keine Lustige Aufgabe.

 

>Script als Startscript unter dem Systemaccount laufen lassen.

Hab ich auch Versuch, habe ein Logon Batch File laufen (zum LW Mappen) in dem ich net localgroup ..usw.. . eingefügt habe, wird aber ignoriert außer bei Admin Rechten dan wird's brav in die lokale Gruppe geschrieben.

[mbrock 10]

Hi,

 

du hast im Prinzip nur 2 Chancen:

GPO

oder

Script mit ausreichenden Rechten laufen lassen - und das sind sicher nicht die Rechte des normalen Anwenders (sonst könnte der sich ja wer-weiß-was-für-Rechte geben)

 

Was bleibt?

- Script mit der Übergabe eines Berechtigten Kontos (mit Kennwort) :(

- Fleißaufgabe (manuell) :(

- GPO (mit genügend Rechten)

 

Vielleicht gib es ja noch die Möglichkeit über ein zentral laufendes Script, das alle Rechner abklappert und den Change vornimmt? - nur so ne Idee, wahrscheinlich nicht ganz so einfach. Da wir dei GPO einfacher sein.

 

Zu VBS- Scripten mit allen möglichen Adminstrativen Beispielscripten gibts bei Microsoft auch das Scriptcenter als www.

Hab nur leider gerade nicht den Link parat:(

[carlito 10]

Zu VBS- Scripten mit allen möglichen Adminstrativen Beispielscripten gibts bei Microsoft auch das Scriptcenter als www. Hab nur leider gerade nicht den Link parat:(

 

http://www.microsoft.com/technet/scriptcenter/default.mspx

 

Viel Spaß mit Dr. Scripto und seinen Scripting Guys... ;)

[lefg 276]

möchte aber keine Eingeschränkten Gruppen definieren.

Warum nicht, um Himmelswillen? Dafür ist es doch da.

[raisu_de 10]

Na ja. Eingeschränkte Gruppen haben einen anderen Hauptverwendungszweck. Der Sinn hinter dieser Policy liegt darin, dass Gruppenmitgliedschaften nicht verändert werden können. Wenn Du zum Beispiel die Gruppe der lokalen Administratoren nimmst. Und Du definierst in eingeschränkte Gruppen Administrator als Mitglied, so kann in dieser Gruppe nur Administrator Mitglied sein. Also verhindert die Policy, dass irgendjemand mit administrativen Berechtigungen einen anderen Account in die Gruppe hereinnimmt.

 

schöne Grüße

[thorgood 10]

Hi,

 

genau für den hier beschriebenen Fall sind die Eingeschränkten Gruppen gut geeignet.

Richtig angewand werden vorhandene lokale Zuordnungen nicht überschrieben.

 

http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

Siehe Beispiel 3

 

Da die Hauptbenutzer auf dem DC nicht existieren benutzt man dessen SID (S-1-5-32-547)

 

thorgood

[lefg 276]

Ich habe das mal mit net localgroup getestet, dafür eine Localgroup.bat geschrieben.

 

net localgroup administratoren lefg /add
pause

 

Diese wird in der Gruppenrichtlinie, Computerkonfiguration, Windows-Einstellungen, Skripts, Starten

eingebunden als \\server\netlogon\LocalgRoup.bat.

 

Zur Verfolgung des Ablaufes wurde die sichtbare Ausführung des Skripts konfiguriert in

 

Gruppenrichtlinie, Computerkonfiguration, Administrative Vorlagen, System, Anmeldung

Startskripts sichtbar ausführen.

 

Das funktioniert.

 

Soll der Befehl (nicht das Skript) bedingt für Rechner ausgeführt werden, dann so:

if %computername%"==PC-Meyer" net localgroup administratoren lefg /add
if %computername%"==PC-Mueller" net localgroup administratoren lefg /add