OS Inst: PC in eine ADS Gruppe aufnehmen

Moderator: jknoth

Antworten
rschramm
Beiträge: 5
Registriert: 09. Okt 2006, 15:23
Wohnort: Nürnberg
Kontaktdaten:

OS Inst: PC in eine ADS Gruppe aufnehmen

Beitrag von rschramm » 13. Apr 2007, 11:35

Während der OS Installation muss das Computer Object in eine ADS Gruppe augenommen werden.

Hat hier jemand schon eine Lösung?

bbuschmann
Beiträge: 118
Registriert: 25. Jan 2007, 14:30
Kontaktdaten:

Beitrag von bbuschmann » 13. Apr 2007, 13:12

Hallo,

eigentlich wird das über das OS Template gesteuert. Dort kann sowohl die Domäne als auch die Gruppe angegeben werden.
Allerdings muss der User aus dem PXE Image die Rechte zum joinen besitzen oder es muss ein extra User für den Join angegeben werden (auch im OS Template).

Viele Grüße,
Ben.

rschramm
Beiträge: 5
Registriert: 09. Okt 2006, 15:23
Wohnort: Nürnberg
Kontaktdaten:

Beitrag von rschramm » 13. Apr 2007, 13:16

bbuschmann hat geschrieben:Hallo,

eigentlich wird das über das OS Template gesteuert. Dort kann sowohl die Domäne als auch die Gruppe angegeben werden.
Allerdings muss der User aus dem PXE Image die Rechte zum joinen besitzen oder es muss ein extra User für den Join angegeben werden (auch im OS Template).

Viele Grüße,
Ben.

Vielen Dank für deine Info:

Dies war hier jedoch nicht gemeint.
Das ADS Computer Object soll die Membership einer ADS Gruppe bekommen, wegen GPO Zuordnung.

jbeimel
Moderator
Moderator
Beiträge: 642
Registriert: 15. Dez 2004, 09:16
Kontaktdaten:

Beitrag von jbeimel » 13. Apr 2007, 13:55

Das ADS Computer Object soll die Membership einer ADS Gruppe bekommen, wegen GPO Zuordnung.
Ist mir immer noch etwas verworren:
Soll jetzt das Computerobjekt Mitglied einer Globalen oder lokalen Gruppe in der ADS werden? Dazu während dem Postinstall mit einem Paket und z.B. ADSI-Scripten die Zuordnung vornehmen. Hat aber keine Auswirkung auf Gruppenrichtlinien.
Oder soll das Computerobjekt in einer bestimmten OU landen (denn Gruppenrichtlinien sind daran gebunden und nicht an Gruppen) dann kann das in der OS-Konfiguration definiert werden.
Jens Beimel
Principal Consultant


Matrix42 AG
info@matrix42.de
http://www.matrix42.de

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.

rschramm
Beiträge: 5
Registriert: 09. Okt 2006, 15:23
Wohnort: Nürnberg
Kontaktdaten:

Beitrag von rschramm » 13. Apr 2007, 14:04

jbeimel hat geschrieben:
Das ADS Computer Object soll die Membership einer ADS Gruppe bekommen, wegen GPO Zuordnung.
Ist mir immer noch etwas verworren:
Soll jetzt das Computerobjekt Mitglied einer Globalen oder lokalen Gruppe in der ADS werden? Dazu während dem Postinstall mit einem Paket und z.B. ADSI-Scripten die Zuordnung vornehmen. Hat aber keine Auswirkung auf Gruppenrichtlinien.
Oder soll das Computerobjekt in einer bestimmten OU landen (denn Gruppenrichtlinien sind daran gebunden und nicht an Gruppen) dann kann das in der OS-Konfiguration definiert werden.
Hallo,

Wir verwenden eine ADS Gruppe für GPO Zuordnung
Es muss also das ADS Computer Object Member einer ADS globalen Gruppe werden.

Der Empirum Agent User hat keine Berechtigung ADS Gruppen in der Domäne zu ändern.
Kann hier während der Installation der User verwendet werden, der auch das Computerkonto "pflegt"

Ich hoffe ich konnte nun die Verwirrung aufheben :)

Viele Grüße

Benutzeravatar
S.Beckmann
Beiträge: 317
Registriert: 15. Dez 2004, 07:34
Wohnort: Wabern (Region Bern)
Kontaktdaten:

Beitrag von S.Beckmann » 13. Apr 2007, 19:28

Hi 8)

1. Der User der den DomainJoin macht, sollte nicht zu viele Rechte haben. In der Regel reicht es, wenn dieser Domain User ist, mit der speziellen Berechtigung das er Computer hinzufügen darf.
Wenn dies der Fall ist, dürfte Punkt 2. nicht funktionieren und es müsste etwas wie Punkt 3. gemacht werden.

2. Ein VBScript erstellen, welches die Informationen für das anmelden an der ADS aus der WinNT.sif liest. Da steht ja der Benutzer mit Klartext- Passwort (Grund wesshalb man einen eingeschränkten Benutzer nimmt) drin. Diese Informationen können dan nim gleichen VBScript dazu verwendet werden, sich bei der ADS anzumelden und dann einen Computer einer Gruppe zuzuweisen.

3. Wenn der Benutzer nicht aus der WinNt.sif verwendet werden kann, einen Benutzer in der ADS erstellen, der nur die Berechtigung hat, Computer dieser Gruppe hinzuzufügen. Dann den User und das Passwort in das VBScript packen und Verschlüsseln, ist zwar nicht supper sicher, aber in Kombination sollte es gehen...

Bei 2. und 3. muss dann noch eine EIS-CustomScript erstellt werden, ev. unter Setup_Win2000.eis. Darin dann das VBScript nach lokal kopieren lassen und z.B. in der Setup.inf vom $OEM$ Verzeichnis dieses VBScript ausführen lassen.

Viel Spass beim experimentieren...
[b]Stefan Beckmann[/b]
Senior System Engineer

[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch

[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]

jbeimel
Moderator
Moderator
Beiträge: 642
Registriert: 15. Dez 2004, 09:16
Kontaktdaten:

Beitrag von jbeimel » 16. Apr 2007, 13:57

Wir verwenden eine ADS Gruppe für GPO Zuordnung.
Oh, man lernt nie aus, höre ich so das erste Mal.
Jens Beimel
Principal Consultant


Matrix42 AG
info@matrix42.de
http://www.matrix42.de

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG.

Benutzeravatar
S.Beckmann
Beiträge: 317
Registriert: 15. Dez 2004, 07:34
Wohnort: Wabern (Region Bern)
Kontaktdaten:

Beitrag von S.Beckmann » 17. Apr 2007, 15:50

Man kan ja über Berechtigungen steuerun, ob eine GPO abgearbeitet wrid oder nicht... Wir verwenden das auch nicht... Aber es wäre interessant zu wissen, was für Überlegungn sich dahinter verbergen... 8-)
[b]Stefan Beckmann[/b]
Senior System Engineer

[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch

[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]

rschramm
Beiträge: 5
Registriert: 09. Okt 2006, 15:23
Wohnort: Nürnberg
Kontaktdaten:

Überlegungen ...

Beitrag von rschramm » 18. Apr 2007, 09:08

Hallo zusammen,

wir haben hier PCs an denen sich nur bestimmte Benutzer anmelden dürfen
(ca 800User/800 PCs).Die PCs sind an unterschiedlichen Standorten.
In der ADS sind die PCs nach Standorte gegliedert.

Eine GPO erlaubt Members einer ADS Gruppe sich lokal am PC anzumelden.
Die Zuweisung der GPO (Computersetting) erfolgt auf Basis der betreffenden ADS Gruppe in der die Computerobjekte Member sind.
Um händischen Eingriff zu minimieren/bzw Probleme zu vermeiden soll der betreffende PC bei der Installation schon in die ADS Gruppe aufgenommen werden. :)

Benutzeravatar
Trickser
Beiträge: 560
Registriert: 11. Okt 2006, 10:51
Wohnort: Jülich
Kontaktdaten:

Beitrag von Trickser » 18. Apr 2007, 22:17

Hi,

interessante Sache ;-)...

Das einzige was ich so gefunden hab ist:

http://support.microsoft.com/kb/322684/en-us

--> dsmod group group_dn -addmbr computer_dn

Das Kommando ist allerdings nur auf dem Server (ab 2003 ?) verfügbar.

2 Möglichkeiten sehe ich da:

1. NACH dem Domain Join das Komando per psexec auf dem Server ausführen lassen (Rechte im AD und auf dem Server beachten, adminpak muss denke ich installiert sein). User und Passwort kann man ja verschlüsseln.

2. ein Steuerfile in einem Share auf dem Server erzeugen welches dann per Batch die Files parst und das Kommando lokal auf dem Server ausführt.
Batch dann per Task Scheduler alle paar Minuten laufen lassen.

Mit Bordmitteln auf dem Client kommst du wahrscheinlich nicht weiter...

Gruss,

Micha.

Benutzeravatar
S.Beckmann
Beiträge: 317
Registriert: 15. Dez 2004, 07:34
Wohnort: Wabern (Region Bern)
Kontaktdaten:

Beitrag von S.Beckmann » 18. Apr 2007, 22:30

Ausser eben mit VBS... Da kann man auch im LDAP rum pfuschen 8-)
[b]Stefan Beckmann[/b]
Senior System Engineer

[color=green]unico[/color] data ag
Südstrasse 8a
CH-3110 Münsingen
mailto: s.beckmann [at] unico [dot] ch

[size=75][color=red][b]Disclaimer[/b][/color]: Die Teilnahme an diesem Forum ist freiwillig, und deshalb sind die hier veröffentlichten Aussagen und Meinungen nicht notwendigerweise die der [color=green]unico[/color] data ag.[/size]

Antworten

Zurück zu „OS Installer“

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 11 Gäste