alles automatiseren ? in server 2012

Status
Niet open voor verdere reacties.

djbosanac

Gebruiker
Lid geworden
13 aug 2008
Berichten
293
Beste alle,

Ik heb een denk ik ingewikkelde vraag omtrent serverbeheer.


Ik wil nu wanneer ik binnen mijn domein iemand aanmaakt, dat hij verschillende groepen krijgt verschillende hardeschijven toegewezen en rechten (gpo) nu vroeg ik me of dit allemaal mogelijk is? En zo ja hoe dan ?

Ik gebruik server 2012R2 ik denk dat dit met scripts/gpo kan gedaan worden?
Ik maak bijvoorbeeld wat OU's aan , ik maak wat shared mappen aan voor verschillende groepen en dan maak ik personen en dan ze allemaal een schijf krijgen etc zodra ze inloggen zonder dat ik nog die moet toevoegen enz.....
 
Onder User Configuratino -> Windows Settings -> Preferences -> Driver maps in een GPO kun je koppelingen maken van schijfletters met gedeelde mappen. Er bestaan nog meer soorten preferences, dus kijk rustig rond.

M.b.t. rechten zetten: Dan lijkt het me dat je met VBScript of batch een gebruiker moet aanmaken. Als je met batch werkt kun je cacls of icacls gebruiken om rechten te zetten.

Meer tips heb ik zo snel niet. Mogelijk heeft iemand iets concreters.

Tijs.
 
Ik probeer nu vbscripts uit echter over het aanmaken en automatiseren van bijvoorbeeld schijven en personen die bepaalde dingen mogen doen kan ik niks over vinden. En qua coderen weet ik er zelf ook niet veel van af.
 
a. Het 'automatiseren' van schijven zou ik gewoon via een login-script of via de Preferences GPO-instellingen doen waar ik het over had. Veel overzichtelijker dan je meteen vast te pinnen bij de aanmaak van de gebruiker.
Bovendien kun je bij aanmaak van een gebruiker alleen een schijfletter koppelen en een HOMEDIRECTORY aangeven, dus de mogelijkheden zijn zowiezo te beperkt.
b. "Personen die bepaalde dingen mogen doen" is onduidelijk. Hoe denk je dat we hier hulp kunnen geven als je informatie verschaft op deze manier?
Wat mogen doen? Als het om (bestands-/mappen-/print-)rechten gaat is het vooral regelen van rechten voor (rechten-)groepen in AD de manier, en dan de gebruiker toevoegen aan de juiste rechtengroep!
Dus zou het dan genoeg zijn om bij aanmaak de gebruiker in de juiste groepen te stoppen. Dan kan (in batch) via het NET GROUP commando.
Als het gaat om applicaties dan kun je daarvoor beter GPO's maken die toegang ontzeggen (of juist toestaan) op applicaties o.b.v. groepslidmaatschap:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application control policies -> AppLocker

of gebruik maken van restricties:
User Configuration -> Policies -> Windows settings -> Security Settings -> Software Restriction Policies

Of gebruik maken van een GPO met published applications waar ook toegang tot applicaties mee beschikbaar gesteld kan worden of juist niet.
User Configuration -> Software Settings -> Software Installation

Verdiep je dus eens uitgebreid in Group policies, en probeer het daarmee te regelen, i.c.m. het aanmaken van gebruikers die (meteen) in de juiste AD-groepen zitten en in de juiste AD-Organizational unit, want met (vooral) die 2 zaken kun je finetunen welke GPO's van toepassing zijn.
M.b.t. filteren van GPO's o.b.v. groepslidmaatschap kun je (bijv.) hier je licht opdoen.

Tijs.
 
Laatst bewerkt:
Maar dan zou ik volgens jou wel altijd handmatig de share_folder aan moeten maken in de AD-DS.
En dan alleen via GPO dus de groepen (Security groepen) aanmaken en dan de persoon daarin zetten en dan zou het ook moeten werken ?
Dat is inderdaad ook een oplossing, echter met die batch ?
 
WELKE share-folder? Je bedoelt de Home map van de gebruiker?
Dat kun je automatiseren, in batch.
Even kort voorbeeld:
Gebruiker HansT
Werkelijke naam Hans van der Togt
Domeinnaam: JOUWDOMEIN.LOCAL
Home-map moet komen op \\fileserver\userfolder\HansT (met D:\Data\userfolder op fileserver gedeeld als userfolder)
H: moet automatisch koppelen met Home-map voor Hans
Initieel wachtwoord: Welkom01
Moet in AD-groepen: Financieel en Handboek
Er bestaan al gedeelde mappen op het netwerk waar AD-groepen Financieel en Handboek al rechten op hebben (bijv. \\fileserver\Financieel en \\fileserver\Handboek)

Voorwaarden:
psexec.exe moet staan in de lokale C:\Windows\System32 map, zodat het te gebruiken is.
Uitgevoerd op een fileserver waar dsmod op beschikbaar is (bijv. een domeincontroller), ingelogd op een domain admin account.

Net USE Z: \\fileserver\userfolder /persistent:no
NET USER HansT Welkom01 /add /domain
NET GROUP Financieel HansT /add /domain
NET GROUP Handboek HansT /add /domain
MKDIR Z:\HansT
icacls Z:\HansT /setowner HansT
icacls Z:\HansT /grant:HansT:(NP)F /grant:Administrators:(NP)F /inheritance:r
psexec.exe \\fileserver -s net share HansT=D:\userfolder\HansT /GRANT:EVERYONE,full
dsmod user "CN=HansT, CN=Users, DC=JOUWDOMEIN, DC=LOCAL" -fn "Hans" -mi "van der" -ln "Togt" -hmdrive H: -hmdir "\\fileserver\userfolder\$username$"

NET USE Z: /delete

etc. etc.,
Niet getest (ik heb ook andere zaken te doen dan Helpmij), maar het geeft een idee.

Tijs.
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.

Nieuwste berichten

Terug
Bovenaan Onderaan