OS Inst: PC in eine ADS Gruppe aufnehmen
Moderator: jknoth
OS Inst: PC in eine ADS Gruppe aufnehmen
Während der OS Installation muss das Computer Object in eine ADS Gruppe augenommen werden.
Hat hier jemand schon eine Lösung?
Hat hier jemand schon eine Lösung?
-
- Posts: 118
- Joined: 25. Jan 2007, 14:30
- Contact:
bbuschmann wrote:Hallo,
eigentlich wird das über das OS Template gesteuert. Dort kann sowohl die Domäne als auch die Gruppe angegeben werden.
Allerdings muss der User aus dem PXE Image die Rechte zum joinen besitzen oder es muss ein extra User für den Join angegeben werden (auch im OS Template).
Viele Grüße,
Ben.
Vielen Dank für deine Info:
Dies war hier jedoch nicht gemeint.
Das ADS Computer Object soll die Membership einer ADS Gruppe bekommen, wegen GPO Zuordnung.
Ist mir immer noch etwas verworren:Das ADS Computer Object soll die Membership einer ADS Gruppe bekommen, wegen GPO Zuordnung.
Soll jetzt das Computerobjekt Mitglied einer Globalen oder lokalen Gruppe in der ADS werden? Dazu während dem Postinstall mit einem Paket und z.B. ADSI-Scripten die Zuordnung vornehmen. Hat aber keine Auswirkung auf Gruppenrichtlinien.
Oder soll das Computerobjekt in einer bestimmten OU landen (denn Gruppenrichtlinien sind daran gebunden und nicht an Gruppen) dann kann das in der OS-Konfiguration definiert werden.
Jens Beimel
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
Hallo,jbeimel wrote:Ist mir immer noch etwas verworren:Das ADS Computer Object soll die Membership einer ADS Gruppe bekommen, wegen GPO Zuordnung.
Soll jetzt das Computerobjekt Mitglied einer Globalen oder lokalen Gruppe in der ADS werden? Dazu während dem Postinstall mit einem Paket und z.B. ADSI-Scripten die Zuordnung vornehmen. Hat aber keine Auswirkung auf Gruppenrichtlinien.
Oder soll das Computerobjekt in einer bestimmten OU landen (denn Gruppenrichtlinien sind daran gebunden und nicht an Gruppen) dann kann das in der OS-Konfiguration definiert werden.
Wir verwenden eine ADS Gruppe für GPO Zuordnung
Es muss also das ADS Computer Object Member einer ADS globalen Gruppe werden.
Der Empirum Agent User hat keine Berechtigung ADS Gruppen in der Domäne zu ändern.
Kann hier während der Installation der User verwendet werden, der auch das Computerkonto "pflegt"
Ich hoffe ich konnte nun die Verwirrung aufheben
Viele Grüße
-
- Posts: 317
- Joined: 15. Dec 2004, 07:34
- Location: Wabern (Region Bern)
- Contact:
Hi
1. Der User der den DomainJoin macht, sollte nicht zu viele Rechte haben. In der Regel reicht es, wenn dieser Domain User ist, mit der speziellen Berechtigung das er Computer hinzufügen darf.
Wenn dies der Fall ist, dürfte Punkt 2. nicht funktionieren und es müsste etwas wie Punkt 3. gemacht werden.
2. Ein VBScript erstellen, welches die Informationen für das anmelden an der ADS aus der WinNT.sif liest. Da steht ja der Benutzer mit Klartext- Passwort (Grund wesshalb man einen eingeschränkten Benutzer nimmt) drin. Diese Informationen können dan nim gleichen VBScript dazu verwendet werden, sich bei der ADS anzumelden und dann einen Computer einer Gruppe zuzuweisen.
3. Wenn der Benutzer nicht aus der WinNt.sif verwendet werden kann, einen Benutzer in der ADS erstellen, der nur die Berechtigung hat, Computer dieser Gruppe hinzuzufügen. Dann den User und das Passwort in das VBScript packen und Verschlüsseln, ist zwar nicht supper sicher, aber in Kombination sollte es gehen...
Bei 2. und 3. muss dann noch eine EIS-CustomScript erstellt werden, ev. unter Setup_Win2000.eis. Darin dann das VBScript nach lokal kopieren lassen und z.B. in der Setup.inf vom $OEM$ Verzeichnis dieses VBScript ausführen lassen.
Viel Spass beim experimentieren...
1. Der User der den DomainJoin macht, sollte nicht zu viele Rechte haben. In der Regel reicht es, wenn dieser Domain User ist, mit der speziellen Berechtigung das er Computer hinzufügen darf.
Wenn dies der Fall ist, dürfte Punkt 2. nicht funktionieren und es müsste etwas wie Punkt 3. gemacht werden.
2. Ein VBScript erstellen, welches die Informationen für das anmelden an der ADS aus der WinNT.sif liest. Da steht ja der Benutzer mit Klartext- Passwort (Grund wesshalb man einen eingeschränkten Benutzer nimmt) drin. Diese Informationen können dan nim gleichen VBScript dazu verwendet werden, sich bei der ADS anzumelden und dann einen Computer einer Gruppe zuzuweisen.
3. Wenn der Benutzer nicht aus der WinNt.sif verwendet werden kann, einen Benutzer in der ADS erstellen, der nur die Berechtigung hat, Computer dieser Gruppe hinzuzufügen. Dann den User und das Passwort in das VBScript packen und Verschlüsseln, ist zwar nicht supper sicher, aber in Kombination sollte es gehen...
Bei 2. und 3. muss dann noch eine EIS-CustomScript erstellt werden, ev. unter Setup_Win2000.eis. Darin dann das VBScript nach lokal kopieren lassen und z.B. in der Setup.inf vom $OEM$ Verzeichnis dieses VBScript ausführen lassen.
Viel Spass beim experimentieren...
[b]Stefan Beckmann[/b]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Oh, man lernt nie aus, höre ich so das erste Mal.Wir verwenden eine ADS Gruppe für GPO Zuordnung.
Jens Beimel
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
Principal Consultant
Matrix42 AG
info@matrix42.de
http://www.matrix42.de
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.
-
- Posts: 317
- Joined: 15. Dec 2004, 07:34
- Location: Wabern (Region Bern)
- Contact:
Man kan ja über Berechtigungen steuerun, ob eine GPO abgearbeitet wrid oder nicht... Wir verwenden das auch nicht... Aber es wäre interessant zu wissen, was für Überlegungn sich dahinter verbergen...
[b]Stefan Beckmann[/b]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Überlegungen ...
Hallo zusammen,
wir haben hier PCs an denen sich nur bestimmte Benutzer anmelden dürfen
(ca 800User/800 PCs).Die PCs sind an unterschiedlichen Standorten.
In der ADS sind die PCs nach Standorte gegliedert.
Eine GPO erlaubt Members einer ADS Gruppe sich lokal am PC anzumelden.
Die Zuweisung der GPO (Computersetting) erfolgt auf Basis der betreffenden ADS Gruppe in der die Computerobjekte Member sind.
Um händischen Eingriff zu minimieren/bzw Probleme zu vermeiden soll der betreffende PC bei der Installation schon in die ADS Gruppe aufgenommen werden.
wir haben hier PCs an denen sich nur bestimmte Benutzer anmelden dürfen
(ca 800User/800 PCs).Die PCs sind an unterschiedlichen Standorten.
In der ADS sind die PCs nach Standorte gegliedert.
Eine GPO erlaubt Members einer ADS Gruppe sich lokal am PC anzumelden.
Die Zuweisung der GPO (Computersetting) erfolgt auf Basis der betreffenden ADS Gruppe in der die Computerobjekte Member sind.
Um händischen Eingriff zu minimieren/bzw Probleme zu vermeiden soll der betreffende PC bei der Installation schon in die ADS Gruppe aufgenommen werden.
Hi,
interessante Sache ...
Das einzige was ich so gefunden hab ist:
http://support.microsoft.com/kb/322684/en-us
--> dsmod group group_dn -addmbr computer_dn
Das Kommando ist allerdings nur auf dem Server (ab 2003 ?) verfügbar.
2 Möglichkeiten sehe ich da:
1. NACH dem Domain Join das Komando per psexec auf dem Server ausführen lassen (Rechte im AD und auf dem Server beachten, adminpak muss denke ich installiert sein). User und Passwort kann man ja verschlüsseln.
2. ein Steuerfile in einem Share auf dem Server erzeugen welches dann per Batch die Files parst und das Kommando lokal auf dem Server ausführt.
Batch dann per Task Scheduler alle paar Minuten laufen lassen.
Mit Bordmitteln auf dem Client kommst du wahrscheinlich nicht weiter...
Gruss,
Micha.
interessante Sache ...
Das einzige was ich so gefunden hab ist:
http://support.microsoft.com/kb/322684/en-us
--> dsmod group group_dn -addmbr computer_dn
Das Kommando ist allerdings nur auf dem Server (ab 2003 ?) verfügbar.
2 Möglichkeiten sehe ich da:
1. NACH dem Domain Join das Komando per psexec auf dem Server ausführen lassen (Rechte im AD und auf dem Server beachten, adminpak muss denke ich installiert sein). User und Passwort kann man ja verschlüsseln.
2. ein Steuerfile in einem Share auf dem Server erzeugen welches dann per Batch die Files parst und das Kommando lokal auf dem Server ausführt.
Batch dann per Task Scheduler alle paar Minuten laufen lassen.
Mit Bordmitteln auf dem Client kommst du wahrscheinlich nicht weiter...
Gruss,
Micha.
-
- Posts: 317
- Joined: 15. Dec 2004, 07:34
- Location: Wabern (Region Bern)
- Contact:
Ausser eben mit VBS... Da kann man auch im LDAP rum pfuschen
[b]Stefan Beckmann[/b]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Who is online
Users browsing this forum: No registered users and 8 guests