Lokaler Administrator GPO setzen – Part 2

In Schritt 1 haben wir bereits die Gruppen im ActiveDirectory für den Administrator erzeugt. Nun geht es weiter mit der lokaler Administrator GPO.

Wie machen wir mit der lokaler Administrator GPO weiter ?
Wir brauchen noch ein Script, das als Computerrichtlinie beim Logon ausgeführt wird:

(addlocaladmingroup.ps1 – Powershell)

Beim nächsten Neustart ist nun die AD-Gruppe in den lokalen Administratoren berechtigt.

Wenn nun jemand lokale Adminrechte benötigt, kann man sie in der Gruppe im ActiveDirectory problemlos setzen.

Das sind die Vorteile der lokaler Administrator GPO:

  • Man muss sich nicht mehr händisch auf den PC schalten
  • Man kann die Berechtigung nicht “vergessen” (dank Schritt 3)

 

Lokaler Administrator mit GPO setzen – Part 3

Lokaler Administrator GPO setzen – Part 1

Es kommt vor, dass jemand lokale Administrator – Rechte benötigt.
Um dies nicht händisch zu erledigen, wird eine Lokaler Administrator GPO benötigt.

Wie beginnen wir nun mit der lokaler Administrator GPO ?

Natürlich können wir dann per Hand den User unter Gruppen -> Administratoren eintragen.

Wenn das nun öfters vorkommt, verliert man den Überblick und es ist relativ umständlich.

Wir können die lokalen Administratoren aber auch über AD-Gruppen steuern.

Das folgende PowerShell Script erzeugt für jedes Computerobjekt eine eigene Gruppe im ActiveDirectory für den Administrator.

Das Script sollte 1x am Tag ausgeführt werden.

(createlocaladmingroups.ps1 – Powershell)

Lokaler Administrator mit GPO setzen – Part 2

Unbekannte SID finden per PowerShell Script

Benutzer werden angelegt, berechtigt, gelöscht – aber die Berechtigung der SID bleibt bestehen. Nach der Zeit verliert man den Überblick. Doch dann stolpert man doch mal wieder über eine Unbekannte SID bei den Berechtigungen.

unbekannte sid

Irgendwann verliert jeder IT Administrator die Übersicht. Die Folge: Wir haben Verzeichnisse, auf die es Berechtigungen gibt, aber die User, bzw. Gruppen gibt es schon lange nicht mehr. Dann bleibt eine so genannte Unknown SID zurück, die das System nicht mehr kennt. Nun möchten wir natürlich alle Ordner und Dateien auflisten, auf die solche SID´s berechtigt sind.

 

Unbekannte SID finden mit PowerShell:

Solche “unknown SID´s” lassen sich ganz einfach finden, und in eine .CSV – Datei ausgeben:

(Powershell)

Leere Gruppen im Active Directory finden per PowerShell

Um das ActiveDirectory wieder “aufzuräumen” ist es nützlich, leere Gruppen zu finden. Jeder Administrator kennt das. Es werden mehr und mehr Gruppen und man verliert die Übersicht. Es kommen Benutzer hinzu, Benutzer werden gelöscht. Irgendwann hat man dann ganz schnell Gruppen im Active Directory, die keine Objekte wie z.B. Benutzer enthalten. Diese Gruppen kann man mit PowerShell ganz einfach finden.

leere gruppen

Leere Gruppen finden mit PowerShell

Es ist natürlich gut, wenn man sein Active Directory aufräumt und hierzu sich alle leeren Gruppen auflisten lassen kann. Das können wir mit einem kleinen PowerShell Befehl umsetzen.

Hier werden alle Gruppen aus dem Active Directory gelesen und gefiltert, die keine “Members” mehr beinhalten.

6

Kennwort läuft ab Mail verschicken mit PowerShell

In manchen ActiveDirectory Umgebungen ist es notwendig, dass Benutzer eine Mail erhalten, wenn ihr Passwort / Kennwort bald abläuft.
Wie man solche eine Kennwort läuft ab Mail versenden kann, mit einem einfachen PowerShell Script, seht ihr hier bei uns. 🙂

Kennwort läuft ab

raphaelsilva / Pixabay

 

Die Kennwort läuft ab Mail versenden, ist sehr simpel mit einem Powershell Script umzusetzen:

(passwordnotificationmail.ps1 – Powershell)

Folgende Zeilen müssen im Script angepasst werden, um die Mail zum Kennwort korrekt zu senden:

  • Zeile 4 – 12: Grundkonfiguration zum Mail – Server und Funktion
  • Zeile 76 – 86: Content / Text der E-Mail
mail senden

Pexels / Pixabay

 

Tipp

Diese Kennwort läuft ab Mail sollte dann nur noch 1x täglich per Aufgabenplanung ausgeführt werden. Wenn das Script nur wöchentlich ausgeführt wird, nützt es natürlich nichts 😉