Lokaler Administrator GPO setzen – Part 2

In Schritt 1 haben wir bereits die Gruppen im ActiveDirectory für den Administrator erzeugt. Nun geht es weiter mit der lokaler Administrator GPO.

Wie machen wir mit der lokaler Administrator GPO weiter ?
Wir brauchen noch ein Script, das als Computerrichtlinie beim Logon ausgeführt wird:

(addlocaladmingroup.ps1 – Powershell)

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
$ComputerName = [system.environment]::MachineName
 
#Import-Module ActiveDirectory
#$DomainName = (Get-AdDomain).DNSRoot.ToString()
 
try {
$AdminGroup = [ADSI]("WinNT://$ComputerName/Administratoren,Group")
#on english OS -> AdministratorS
$AdminGroup.Add("WinNT://your.domain/Grp-Locad-$ComputerName,Group")
}
catch
{
}

Beim nächsten Neustart ist nun die AD-Gruppe in den lokalen Administratoren berechtigt.

Wenn nun jemand lokale Adminrechte benötigt, kann man sie in der Gruppe im ActiveDirectory problemlos setzen.

Das sind die Vorteile der lokaler Administrator GPO:

  • Man muss sich nicht mehr händisch auf den PC schalten
  • Man kann die Berechtigung nicht “vergessen” (dank Schritt 3)

 

Lokaler Administrator mit GPO setzen – Part 3

Lokaler Administrator GPO setzen – Part 1

Es kommt vor, dass jemand lokale Administrator – Rechte benötigt.
Um dies nicht händisch zu erledigen, wird eine Lokaler Administrator GPO benötigt.

Wie beginnen wir nun mit der lokaler Administrator GPO ?

Natürlich können wir dann per Hand den User unter Gruppen -> Administratoren eintragen.

Wenn das nun öfters vorkommt, verliert man den Überblick und es ist relativ umständlich.

Wir können die lokalen Administratoren aber auch über AD-Gruppen steuern.

Das folgende PowerShell Script erzeugt für jedes Computerobjekt eine eigene Gruppe im ActiveDirectory für den Administrator.

Das Script sollte 1x am Tag ausgeführt werden.

(createlocaladmingroups.ps1 – Powershell)

PowerShell
1
2
3
$computerlist = Get-ADComputer -Filter Name -like '*N*' | Select -Expand Name
#our namespace is N000123 (notebook)
foreach ($computer in $computerlist) { NEW-ADGroup name Grp-Locad-$computer groupscope Global path OU=LocalAdminGroups,OU=your,DC=your,DC=domain }

Lokaler Administrator mit GPO setzen – Part 2

Unbekannte SID finden per PowerShell Script

Benutzer werden angelegt, berechtigt, gelöscht – aber die Berechtigung der SID bleibt bestehen. Nach der Zeit verliert man den Überblick. Doch dann stolpert man doch mal wieder über eine Unbekannte SID bei den Berechtigungen.

unbekannte sid

Irgendwann verliert jeder IT Administrator die Übersicht. Die Folge: Wir haben Verzeichnisse, auf die es Berechtigungen gibt, aber die User, bzw. Gruppen gibt es schon lange nicht mehr. Dann bleibt eine so genannte Unknown SID zurück, die das System nicht mehr kennt. Nun möchten wir natürlich alle Ordner und Dateien auflisten, auf die solche SID´s berechtigt sind.

 

Unbekannte SID finden mit PowerShell:

Solche “unknown SID´s” lassen sich ganz einfach finden, und in eine .CSV – Datei ausgeben:

(Powershell)

PowerShell
1
2
3
4
5
6
Get-ChildItem "\\server\share$\folder" -Recurse |
Where{$_.PSIsContainer} |
Get-ACL |
Where{$_.AccessToString -match 'S-1'} |
Select @{n='Folder';e={($_.pspath).split("::")[3]}},Owner,AccessToString |
Export-Csv C:\unresolvedSIDs.csv -NoTypeInformation

Leere Gruppen im Active Directory finden per PowerShell

Um das ActiveDirectory wieder “aufzuräumen” ist es nützlich, leere Gruppen zu finden. Jeder Administrator kennt das. Es werden mehr und mehr Gruppen und man verliert die Übersicht. Es kommen Benutzer hinzu, Benutzer werden gelöscht. Irgendwann hat man dann ganz schnell Gruppen im Active Directory, die keine Objekte wie z.B. Benutzer enthalten. Diese Gruppen kann man mit PowerShell ganz einfach finden.

leere gruppen

Leere Gruppen finden mit PowerShell

Es ist natürlich gut, wenn man sein Active Directory aufräumt und hierzu sich alle leeren Gruppen auflisten lassen kann. Das können wir mit einem kleinen PowerShell Befehl umsetzen.

Hier werden alle Gruppen aus dem Active Directory gelesen und gefiltert, die keine “Members” mehr beinhalten.

PowerShell
1
Get-ADGroup -Filter * -Properties Members | where {-not $_.members} | select Name | Export-Csv C:\emprtygroups.csv NoTypeInformation
6

Kennwort läuft ab Mail verschicken mit PowerShell

In manchen ActiveDirectory Umgebungen ist es notwendig, dass Benutzer eine Mail erhalten, wenn ihr Passwort / Kennwort bald abläuft.
Wie man solche eine Kennwort läuft ab Mail versenden kann, mit einem einfachen PowerShell Script, seht ihr hier bei uns. 🙂

Kennwort läuft ab

raphaelsilva / Pixabay

 

Die Kennwort läuft ab Mail versenden, ist sehr simpel mit einem Powershell Script umzusetzen:

(passwordnotificationmail.ps1 – Powershell)

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
#################################################################################################################
# Requires: Windows PowerShell Module for Active Directory
##################################################################################################################
# Please Configure
$smtpServer="0.0.0.0." #IP mail server
$expireindays = 7 #days before reminding
$from = "Support <[email protected]>"
$logging = "Enabled" # Set to Disabled to Disable Logging
$logFile = "C:\mail.csv" # ie. c:\mylog.csv
$testing = "Enabled" # Set to Disabled to Email Users
$testRecipient = "[email protected]" # If Testing Is Enabled - Email Administrator ONLY
#
###################################################################################################################
 
# Check Logging Settings
if (($logging) -eq "Enabled")
{
# Test Log File Path
$logfilePath = (Test-Path $logFile)
if (($logFilePath) -ne "True")
{
# Create CSV File and Headers
New-Item $logfile -ItemType File
Add-Content $logfile "Date,Name,EmailAddress,DaystoExpire,ExpiresOn,Notified"
}
} # End Logging Check
 
# System Settings
$textEncoding = [System.Text.Encoding]::UTF8
$date = Get-Date -format ddMMyyyy
# End System Settings
 
# Get Users From AD who are Enabled, Passwords Expire and are Not Currently Expired
Import-Module ActiveDirectory
$users = get-aduser -filter * -properties Name, PasswordNeverExpires, PasswordExpired, PasswordLastSet, EmailAddress |where {$_.Enabled -eq "True"} | where { $_.PasswordNeverExpires -eq $false } | where { $_.passwordexpired -eq $false }
$DefaultmaxPasswordAge = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
 
# Process Each User for Password Expiry
foreach ($user in $users)
{
$Name = $user.Name
$emailaddress = $user.emailaddress
$passwordSetDate = $user.PasswordLastSet
$PasswordPol = (Get-AduserResultantPasswordPolicy $user)
$sent = "" # Reset Sent Flag
# Check for Fine Grained Password
if (($PasswordPol) -ne $null)
{
$maxPasswordAge = ($PasswordPol).MaxPasswordAge
}
else
{
# No FGP set to Domain Default
$maxPasswordAge = $DefaultmaxPasswordAge
}
 
 
$expireson = $passwordsetdate + $maxPasswordAge
$today = (get-date)
$daystoexpire = (New-TimeSpan -Start $today -End $Expireson).Days
 
# Set Greeting based on Number of Days to Expiry.
 
# Check Number of Days to Expiry
$messageDays = $daystoexpire
 
if (($messageDays) -gt "1")
{
$messageDays = "in " + "$daystoexpire" + " Tagen"
}
else
{
$messageDays = "HEUTE"
}
 
# Email Subject Set Here
$subject="Ihr Kennwort läuft $messageDays ab."
 
# Email Body Set Here, Note You can use HTML, including Images.
$body ="
<p style=""font-family:'Segoe UI', Segoe UI;""> Hallo $name, <br><br>
Ihr Windows-Kennwort wird $messageDays ablaufen.<br>
Um Ihr Kennwort zu ändern, drücken Sie STRG-ALT-ENTF und wählen Sie 'Kennwort ändern'.<br><br>
Dein Support Team.<br>
(Bitte antworten Sie NICHT auf diese Email. Bei Fragen wenden Sie sich per Mail an <a href=""mailto:[email protected]"">[email protected]</a>)
</P>"
 
 
# If Testing Is Enabled - Email only Administrator
if (($testing) -eq "Enabled")
{
$emailaddress = $testRecipient
} # End Testing
 
# If a user has no email address listed
if (($emailaddress) -eq $null)
{
$emailaddress = $testRecipient
}# End No Valid Email
 
# Send Email Message
if (($daystoexpire -ge "0") -and ($daystoexpire -lt $expireindays))
{
$sent = "Yes"
# If Logging is Enabled Log Details
if (($logging) -eq "Enabled")
{
Add-Content $logfile "$date,$Name,$emailaddress,$daystoExpire,$expireson,$sent"
}
# Send Email Message
Send-Mailmessage -smtpServer $smtpServer -from $from -to $emailaddress -subject $subject -body $body -bodyasHTML -priority High -Encoding $textEncoding
 
} # End Send Message
else # Log Non Expiring Password
{
$sent = "No"
# If Logging is Enabled Log Details
if (($logging) -eq "Enabled")
{
Add-Content $logfile "$date,$Name,$emailaddress,$daystoExpire,$expireson,$sent"
}
}
 
} # End User Processing
 
 
 
# End

Folgende Zeilen müssen im Script angepasst werden, um die Mail zum Kennwort korrekt zu senden:

  • Zeile 4 – 12: Grundkonfiguration zum Mail – Server und Funktion
  • Zeile 76 – 86: Content / Text der E-Mail
mail senden

Pexels / Pixabay

 

Tipp

Diese Kennwort läuft ab Mail sollte dann nur noch 1x täglich per Aufgabenplanung ausgeführt werden. Wenn das Script nur wöchentlich ausgeführt wird, nützt es natürlich nichts 😉

1 52 53 54 55