скрипт для автоматической вставки пользователей из активной директории на ПК

904
Alessandro Salzano

Я хотел бы знать, возможно ли создать сценарий (power shell или vbs), который автоматически вставляет пользователей папки сервера домена в активный каталог (windows 2003).

Я хочу запустить его на локальном ПК (Windows), который находится в домене, чтобы настроить пользователей в качестве администраторов, вставляемых автоматически.

Является ли это возможным? каждый день я размещаю более двадцати пользователей на локальном компьютере, и это довольно утомительно.

0
Вы спрашиваете, добавляете ли вы пользователей в домен через скрипт Powershell? Да, вы действительно можете сделать это, что вы пытались. Мы не являемся сервисом по написанию сценариев, мы будем рады помочь, как только вы попробуете. Ramhound 8 лет назад 0
Мы не сервис написания сценариев. Мы ожидаем, что пользователи сообщат нам, что они пробовали до сих пор (включая любые сценарии, которые они используют) и где они застряли, чтобы мы могли помочь с конкретными проблемами. Вопросы, которые задают только сценарии, слишком широки и, вероятно, будут [отложены или закрыты] (http://superuser.com/help/closed-questions). Пожалуйста, прочитайте [Как мне задать хороший вопрос?] (Http://superuser.com/help/how-to-ask). DavidPostill 8 лет назад 0
Я извиняюсь перед вами, я хотел бы автоматически заполнить компьютер списком пользователей, которые уже существуют в Active Directory. Я пробовал следующие команды в cmd NET GROUP имя группы имя пользователя [...] / ADD [/ DOMAIN] NET LOCALGROUP имя группы имя пользователя [...] / ADD [/ DOMAIN], но результат противоположный, на локальном ПК я создаю новая группа в активном каталоге. Я хотел бы вставить пользователей домена в локальный ПК (как это делается вручную с помощью команды control userpasswords2, чтобы запросить) Alessandro Salzano 8 лет назад 0

1 ответ на вопрос

0
Fazer87

There are much easier ways and better ways to do this...

Local Security Group Policy - Create a new group policy, link it to the computers you want to configure, edit the group policy and go to Computer Configuration > Policies > Windows Settings > Restricted Groups > Create a new group and call it "Administrators". Add your users to it. Now reboot your computers and they will all add the users to their Administrators Group:enter image description here

Computer Preference Group Policy - Same again, create a group policy linked to your computers and go to Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups > use the "Add" function to Add users to Administrators: enter image description here

PowerShell Script

$group = [ADSI]"WinNT://$env:COMPUTERNAME/Administrators,group" $domainName = "myDomain" Get-ADUser -Filter * -properties * -SearchBase “OU=DefaultUsers,DC=myDomain,DC=local” | ForEach { $user = $_.sAMAccountName $group.Add("WinNT://$domainName/$user") Write-Host (($_.sAMAccountName) + " Added") }

This will error for each user who is already in the group - but I've been nice enough to give you a starter from TechNet... I'm not adapting it though - we're not a scripting service.

Domain Users as Local Admins If it is all users becoming admins on all machines, just add the "Domain Users" group to local admins manually on each machine (or through a method above) - that way, all future users will automatically become admins - given that all users are auto-added to "Domain Users" when created.

The bigger problem The bigger problem you have is that not only is this bad practise (users shouldn't be admins unless they need to be) - but it's unmaintainable.. if you have to redo all this work everytime someone new joins.

You can package something like the powershell script as a startup script on groups of machines through group policy to make this easier for you.

You can also make an Active Directory "Group" for each OU (folder) of users and just add that group to your local admins... this way, when you add someone to that group - they will become local admins from the next time they logon.

On a side note - you really need to re-evaluate security and the way things are done at your company if you're handing out admin rights to everyone.. but it's not my place to say why - maybe there's a legitmate reason, but these are few and far between.

Похожие вопросы