Hallo,
ich möchte gerne bei den lokalen Administratoren nur bestimmte Gruppen/Benutzer hinzufügen und die restlichen Gruppen/Benutzer alle löschen.
Mit LocalGroup.DelMember muss ich ja die Gruppen/Benutzer explizit angeben, die ich löschen will.
Irgendeine Idee?
lokale Administratoren bereinigen
-
matrix42fan
- Posts: 54
- Joined: 28. Jan 2005, 18:46
- Contact:
lokale Administratoren bereinigen
Gruß
matrix42fan
matrix42fan
-
S.Beckmann
- Posts: 317
- Joined: 15. Dec 2004, 07:34
- Location: Wabern (Region Bern)
- Contact:
Ein anderer Weg wäre GPO über Restrictet Groups. Da kann man genau vorgeben, wass in der Gruppe sein soll. Alles andere wird automatisch entfernt! Kann Vor- und Nachteil sein!
[b]Stefan Beckmann[/b]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Hallo,
ich habe auch ein kleines Problem.
Und zwar haben wir noch einen kleinen Missstand, so das auf einigen Rechern Domänen User noch in der lokalen Gruppe Administratoren stecken. Ich würde jetzt gerne ein Paket machen in dem ich überprüfe ob der sich gerade angemeldete User in dieser Gruppe befinden und wenn ja soll er dort gelöscht und in die Gruppe Hauptbenutzer eingefügt werden. Kann mir einer sagen wie ich das hin bekomme?
Gruß A.Fiedler
ich habe auch ein kleines Problem.
Und zwar haben wir noch einen kleinen Missstand, so das auf einigen Rechern Domänen User noch in der lokalen Gruppe Administratoren stecken. Ich würde jetzt gerne ein Paket machen in dem ich überprüfe ob der sich gerade angemeldete User in dieser Gruppe befinden und wenn ja soll er dort gelöscht und in die Gruppe Hauptbenutzer eingefügt werden. Kann mir einer sagen wie ich das hin bekomme?
Gruß A.Fiedler
-
S.Beckmann
- Posts: 317
- Joined: 15. Dec 2004, 07:34
- Location: Wabern (Region Bern)
- Contact:
Hier mal eine Idee, die wir umgesetzt haben:
Man erstelle eine Machinen- Variable in Empirum, welche einen User, mehrere User mit Komma getrennt oder Gruppen enthält. Man nenne sie z.B. Hauptbenutzer.
Man erstelle eine Paket, welches jeden Tag einmal installiert wird, und liest diesen Inhalt aus und schreibt sie irgend wo auf C: in eine Ini. In etwa so: C:\Sys\PowerUsers.ini
Die Ini sollte so aussehen:
[PowerUsers]
%ComputerName%=UserA (%Computername% ist mit dem richtigen Hostnamen zu ersetzen)
Dann erstelle man ein VBScript, welches die INI ausliest, und dann zu den Hauptbenutzer hinzufügt.
Dieses Schript fügt man zu den GPO als Startup und Shutdown- Script hinzu. Dann richtet man noch in der GPO Restrictet Groups ein.
Erreichtes Ziel:
Alle User in der Gruppe für welche Restricet Grups konfiguriert wurden, und da nicht in der GPO konfiguriert sind, fleigen raus. Über das VB-Script werden aber die Benutzer, welche Hauptbenutzer sein sollen, wieder hinzugefügt.
So sind wirklich nur die Hauptbenutzer Hauptbenutzer, welche es sein dürfen. Man kann die Berechtigungen jederzeit ändern, da das Paket ja immer wieder installiert wird.
Dies kann man auch z.B. für die Administratoren machen. So kann man einem "Normalen" User zum Administrator au "Einer" Kiste machen, und niocht gleich auf allen... Und das ganze wie schon erwähnt, zentral administrierbar.
@A.Fiedler, das würde ihr Porblem auch lösen, und es längerfristig sogar noch verbessern...
Gruss
Steff
Man erstelle eine Machinen- Variable in Empirum, welche einen User, mehrere User mit Komma getrennt oder Gruppen enthält. Man nenne sie z.B. Hauptbenutzer.
Man erstelle eine Paket, welches jeden Tag einmal installiert wird, und liest diesen Inhalt aus und schreibt sie irgend wo auf C: in eine Ini. In etwa so: C:\Sys\PowerUsers.ini
Die Ini sollte so aussehen:
[PowerUsers]
%ComputerName%=UserA (%Computername% ist mit dem richtigen Hostnamen zu ersetzen)
Dann erstelle man ein VBScript, welches die INI ausliest, und dann zu den Hauptbenutzer hinzufügt.
Dieses Schript fügt man zu den GPO als Startup und Shutdown- Script hinzu. Dann richtet man noch in der GPO Restrictet Groups ein.
Erreichtes Ziel:
Alle User in der Gruppe für welche Restricet Grups konfiguriert wurden, und da nicht in der GPO konfiguriert sind, fleigen raus. Über das VB-Script werden aber die Benutzer, welche Hauptbenutzer sein sollen, wieder hinzugefügt.
So sind wirklich nur die Hauptbenutzer Hauptbenutzer, welche es sein dürfen. Man kann die Berechtigungen jederzeit ändern, da das Paket ja immer wieder installiert wird.
Dies kann man auch z.B. für die Administratoren machen. So kann man einem "Normalen" User zum Administrator au "Einer" Kiste machen, und niocht gleich auf allen... Und das ganze wie schon erwähnt, zentral administrierbar.
@A.Fiedler, das würde ihr Porblem auch lösen, und es längerfristig sogar noch verbessern...
Gruss
Steff
[b]Stefan Beckmann[/b]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
Senior System Engineer
[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch
[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]
-
Walter_Schulz
- Posts: 876
- Joined: 17. Dec 2004, 12:29
- Contact:
callhidden cmd /c For /F %a in ('net localgroup administratoren^|find /I "<dom>\%username%"') do net localgroup administratoren <dom>\%username% /delete & net localgroup hauptbenutzer <dom>\%username% /addAFiedler wrote: Ich würde jetzt gerne ein Paket machen in dem ich überprüfe ob der sich gerade angemeldete User in dieser Gruppe befinden und wenn ja soll er dort gelöscht und in die Gruppe Hauptbenutzer eingefügt werden.
Gruß A.Fiedler
Ciao!
Walter Schulz
Hallo Herr Beckmann,
vielen Dank für die Beschreibung, das hört sich ansich schon mal ganz gut an, aber bedarf anscheind ein wenig mehr arbeit. Besodners wo ich mich mit VBScript über haupt nicht aus kenne.
Für meine Zwecke reicht ansich erstmal der Befehl von herrn Schulz aus, aber da gibt es ein kleines Problem. Wenn ich callhidden cmd /c For /F %a in ('net localgroup administratoren^|find /I "<dom>\%username%"') do net localgroup administratoren <dom<\%username% /delete & net localgroup hauptbenutzer <dom<\%username% /add über ein Paket aufrufe klappt es nicht, wenn ich es aber in einer Console eingebe schon. Woran könnte das liegen.
Wenn ich mal /c wegnehme und callhidden in call umschreibe wird ein Concolen fenster geöffnet aber nichts passiert. Als wenn er alles ab dem FOR nicht abarbeitet.
vielen Dank für die Beschreibung, das hört sich ansich schon mal ganz gut an, aber bedarf anscheind ein wenig mehr arbeit. Besodners wo ich mich mit VBScript über haupt nicht aus kenne.
Für meine Zwecke reicht ansich erstmal der Befehl von herrn Schulz aus, aber da gibt es ein kleines Problem. Wenn ich callhidden cmd /c For /F %a in ('net localgroup administratoren^|find /I "<dom>\%username%"') do net localgroup administratoren <dom<\%username% /delete & net localgroup hauptbenutzer <dom<\%username% /add über ein Paket aufrufe klappt es nicht, wenn ich es aber in einer Console eingebe schon. Woran könnte das liegen.
Wenn ich mal /c wegnehme und callhidden in call umschreibe wird ein Concolen fenster geöffnet aber nichts passiert. Als wenn er alles ab dem FOR nicht abarbeitet.
-
Walter_Schulz
- Posts: 876
- Joined: 17. Dec 2004, 12:29
- Contact:
-
Walter_Schulz
- Posts: 876
- Joined: 17. Dec 2004, 12:29
- Contact:
Ich habe es jetzt so gelöst das ich die Ausgabe von net localgroup administratoren in eine Datei kopiere und dann mittel DoesTextInFileExist überprüfe ob der User in der Gruppe vorhanden ist. Falls das zutrifft wird er über den Aufruf gelöscht: callhidden cmd /c net localgroup administratoren BAD\%username% /delete & net localgroup hauptbenutzer BAD\%username% /add
Vielen Dank für die Hilfe...
Gruß Armin Fiedler
Vielen Dank für die Hilfe...
Gruß Armin Fiedler
Who is online
Users browsing this forum: No registered users and 2 guests