AD: Tilføje domain brugere til lokale grupper via GPO?

hvorfor ialverden skulle man dog gøre det?

tror ikke man kan via GPO, men det skulle ikke være det store problem at scripte sig ud af, og sætte det ind i loginscriptet

Grundlaget er såmænd enkelt nok: Når man skal rulle AD ud til 8 forskellige lande med omkring 1.000 brugere, så laver man en account som brugerne kan bruge til at melde deres maskine på deres domain. I root domainet findes alle administrator-accounts som skal have lokal admin rettigheder på de enkelte maskine, uanset om brugeren tilføjer eller ej. :o)

Hvordan gør man det i et script?

Egentlig så jeg også gerne at man kunne ændre lokal admin password via GPO eller script, men ...!?

Det kan man godt, men da det er en smule tricky, ville det være rart at vide hvilken lokal gruppe du ønsker at føje domain brugere/grupper til.

tpo -> Ok, jeg ønsker at tilføje gruppen "Enterprise Admins" fra mit root-domain, til den lokale "Local Administrators" på klienter og servere i mine subdomains. (Der er et subdomain pr. land, 8 stk. i alt).

På dit toplevel domain laver du en ny GPO. (Jeg går udfra at du ved hvordan).

Der skal du åbne: Computer Configuration > Windows Settings > Security Settings
Højreklik på Restricted Groups - vælg Add Group - klik på Browse - vælg gruppen Administrators - klik OK - OK.

Højreklik på den lige tilføgede gruppe Administrators - vælg Security.
I den øverste box klikker du på Add og browser dig frem til de grupper og/eller brugere der skal være med i den lokale gruppe Administrators.

ADVARSEL: Alle brugere og grupper der måtte være i den lokale gruppe bliver fjernet, der vil kun være dem som du har tilføget i din GPO. Så du bør mindst tilføge Kontoen: Administrator og Gruppen: Domain Admins (De er der jo pr. default i forvejen) samt Gruppen: Enterprise Admins.   

Da jeg skrev at det kunne være lidt tricky, tænkte jeg på de grupper der ikke findes på en DC, f.eks Power Users, den gruppe kan du ikke browse dig frem til, men må i stedet indtaste gruppen's SID.

Fedt, det må jeg lige prøve - kan man resette administrator password via GPO? :)

Det tror jeg ikke.

woolbox>> der er et lille ekspempel på oprettelse af en bruger her, http://www.aspfree.com/adsi/createuser.asp

Hej woolbox
En kommentar ville være rar!

I'll get back to you soon!! :o)

Hmm, tak for hjælpen men jeg kunne desværre ikke bruge det i denne situation. Jeg havde glemt at man kun kan tilføje brugere og ikke grupper til lokale grupper, så jeg kan desværre ikke bruge det til så meget! :o(

Men TPO, du har faktisk svaret på det jeg spurgte om, så du får points! :o)

Man kan da sagtens tilføje grupper til lokale grupper!

Damn, flot Wool - blandede sammen med Domain Local groups, som jeg netop har eksperimenteret med. Jeg prøver lige, og så melder jeg lige tilbage :)

Tak for det!! ;o)

Lige en ting mere, kan man bruge systemvariable? - Fx. gør vi typisk den enkelte bruger til lokal administrator (da vi har mange udviklere og andet), og så er vi nødt til at have en GPO pr. bruger hvis den fjerner de medlemmer der er i forvejen!!! ;o)

Lav en Global Security Group F.eks "Local Administrators" gør denne gruppe medlem af den lokale gruppe Administrators, ved hjælp af GPO (Som tidligere angivet).

Du kan så "lave/Fjerne lokale administratorer" ved at tilføje/fjerne brugere i gruppen "Local Administrators".

Skal det være mere nyanceret, kan du lave flere OU'er (En for hver Afdeling/Land eller hvad du måtte have behov for) og flytte dine maskiner ind i disse OU'er. Derefter kan du lave en GPO for hver OU. Mulighederne er mangfoldige.

Det giver stadigvæk ikke mulighed for kun at tillføje computerens primære bruger, som lokal administrator! :o(

Vi har opgivet planen, troede faktisk også Enterprise Admins havde guderettigheder på alle subdomains og klienter, hvad f*nden skal man ellers med den!?! :o(

Jeg er ikke sikker på at jeg helt har forstået hvad det er du vil lave.
Nå men det har da været spændende.

Hilsen
tpo