Hallo an alle!

Habe da mal eine Frage zum Active Directory: Ist es möglich Vorgänge im Active Directory zu automatisieren? Konkret geht es um das Erstellen von Benutzergruppen, dem Zuweisen von Benutzern zu dieser Gruppe sowie das Verbinden mit einer entsprechenden Policy.

Geht das?
Wenn ja: Gibt es empfehlenswerte Literatur dazu bzw. wo finde ich da was?

Ich will die Frage erstmal so im Raum stehen lassen. Sollten Schwierigkeiten beim Verständnis der Sinnhaftigkeit dessen bestehen, dann werde ich einen Anwendungsfall noch nachreichen.

Danke!

Wenn ich das richtig verstanden habe, sind WMI Skripte genau dafür gedacht:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwmi/html/mngwmi.asp


Ob man jetzt genau diesen Anwendungsfall damit abdecken kann, weiß ich nicht, aber zumindest hast du schonmal einen Ansatzpunkt zum suchen! ;)

schau dir mal dsadd und dsmod an

Ay, danke!

WMI hatte ich auch schon im Auge. Muss ich mal untersuchen, ob sich das für unser Vorhaben eignet.

"dsadd" und "dsmod" hab ich vorher noch nie gehört, liest sich aber schonmal ganz gut (hab es gerade nur mal überflogen).

Wem noch weitere Sachen einfallen, der möge sich melden... ;)
Wichtig wäre mir nur, dass die entsprechende Funktion quasi direkt im OS bzw. im Active Directory implementiert ist.

Das AD ist sehr mächtig aber leider ist kaum etwas automatisiert. Du kannst zwar mit den mitgelieferten GUIs eigentlich ALLES machen, was für eine Produktive Umgebung notwendig ist, klar sind kleine extra Tools wie von Sysinternals oder generell MS ganz hilfreich. Hier gilt stöbern, suchen, googeln und Foren lesen (nicht 3dc :biggrin: in diesem Fall).

Um im AD aber automatisiern zu können, kommst du um Skripting nicht herum. Eine Scriptsprache musst du auf jeden Fall beherrschen, VBscript ist sicher das Mittel der Wahl, ich persönlich tendiere aber im Adminbereich eher zu KIX. Ist ziemlich einfach zu erlernen aber ziemlich mächtig. Es gibt dazu sogar GUI erweiterungen (kixforms) mit denen man richtig Utilities Programmieren (skripten) kann. In den dortigen foren findet man auch unendlich viele beispiele (so etwas gibt es natürlich auch für vbscript)
Mit VBScript beziehe ich mich natürlich auch auf WSH und ander erweiterungen.

Desweiteren sollte man LDAP verstehen, denn letztendlich ist das AD nur eine LDAP Datebank, die sich per sript abfragen und verändern lässt.

Welche Scriptsprache du letztendlich verwendest ist egal.

Ausserdem liefert Windows schon viele kommandozeilen tools schon mit, z.B. um remote Drucker zu verwalten, such mal im windows verzeichnis nach *.vbs.

die ds* befehle die nn23 angegeben hat sind auch gold wert.

Aber eigentlich liefert dir google alles was du brauchst, du musst nur die richtigen fragen stellen, es gibt kaum etwas, das nicht schon jemand gescripted hat und zumindest als ausgangsbasis für eigenen Projekte dienen kann.

Unsere Migation von NT auf 2003 (AD) haben wir eigentlich komplett mit kix scripten und Excel :smile: gemacht.

Also erstmal vielen Dank für die ausführliche Antwort jorge42.

Um im AD aber automatisiern zu können, kommst du um Skripting nicht herum.
Das habe ich mir fast gedacht, da in der von mir bisher gelesenen Literatur sowas mit keinem Wort erwähnt wurde. Leider ist das nicht Sinn der Sache, zumindest nicht in erster Linie. Zur Zeit geht es mir erstmal darum, rauszufinden, was mit den Bordmitteln des AD überhaupt automatisierbar ist. Das Einbinden einer externen Skriptsprache kommt dann erst im zweiten Schritt, wenn sich rausgestellt haben sollte, dass die Hausmittel nicht ausreichen.

Ausserdem liefert Windows schon viele kommandozeilen tools schon mit, z.B. um remote Drucker zu verwalten, such mal im windows verzeichnis nach *.vbs.

die ds* befehle die nn23 angegeben hat sind auch gold wert.
Das ist immerhin schonmal ein erster Ansatzpunkt, den man evtl. über Batch-Dateien weiter verfolgen könnte. Mal sehen, was die weiteren Recherchen da noch ergeben.

Aber eigentlich liefert dir google alles was du brauchst, du musst nur die richtigen fragen stellen, es gibt kaum etwas, das nicht schon jemand gescripted hat und zumindest als ausgangsbasis für eigenen Projekte dienen kann.
Das kommt dann (wie gesagt) im zweiten Schritt mal.

Danke nochmal, mal sehen, was ich daraus für weitere Erkenntnisse ableiten kann.

ich will dich nicht entmutigen, aber ich betone nochmals ohne externe Tools (meist kostenpflichtig z.B. Hyena oder Dameware) und/ODER Skripten wirst du kaum etwas automatisieren können, ist leider so:mad: Es hängt aber wie immer von der Menge ab, die man auf einen schlag erledigen möchte.

klar kann man in der benutzerverwaltung sich usertemplates anlegen, und die mit F8 kopieren. Das erleichtert das User anlegen ungemein, aber 800 user damit anlegen ist ein Ding der Unmöglichkeit. 10 ok aber, aber keine 100.

Homelaufwerke und Profilordner erstellt windows 2003 schon automatisch mit richtigen Berechtigungen (das Admins zugriff auf die User Profilordner haben, muss in der GPO erst aktiviert werden).

Netzwerkdrucker anlegen geht auch nicht mal eben so, zuerst druckerport anlegen, dann drucker einrichten, freigabe erstellen, treiber auswählen, berechtigungen einstellen, im AD veröffentlichen. Da braucht man 2-3 Minuten pro Drucker, ich habe ne GUI mit kix erstellt, womit man sich alles innerhalb von 5 sek. zusammenklickt oder per excel csv-datei importiert und auf dem server einrichtet.

Wenn man eine granulare Berechtigungsstruktur hat kann es durchaus sein, dass man eben mehrere hundert bis tausend gruppen erzeugen muss, mit tippen brauchst du jahre. mit nem simplen skript importierst du das aus ner tabelle. ok, die muss auch erstellt werden oder man erhält sie durch export aus ner alten NT domäne....

mal ne frage: wie macht ihr eure login-skripte? das ist doch auch automatisierung, macht keinen unterschied!

schau dir mal dsadd und dsmod an

genau. für die ADS gibts diverse command console tools. die musst du aber iirc alles nachinstallieren.

Das AD ist sehr mächtig aber leider ist kaum etwas automatisiert.

na, so pauschal kann man das nicht sagen.


Desweiteren sollte man LDAP verstehen, denn letztendlich ist das AD nur eine LDAP Datebank, die sich per sript abfragen und verändern lässt.

exakt. vielleicht sollte er damit anfange. hatte mich mit während der ausbildung damit beschäftig. mit LDAP kommste auch mit ner ADS weit.


Unsere Migation von NT auf 2003 (AD) haben wir eigentlich komplett mit kix scripten und Excel gemacht.

NA :). Ich dachte, laut Microsoft muss man nur ne CD einlegen und Upgrade ! Klicken ...

Wenn man eine granulare Berechtigungsstruktur hat kann es durchaus sein, dass man eben mehrere hundert bis tausend gruppen erzeugen muss, mit tippen

was ads angeht, hatte ich nen webcast mir reingezogen, wo sowas erwäht worden ist. blöderweise interessiert mich scripting nicht, und ich hab vergessen, was damals nochmal erwäht worden ist ;D

aber es gibt schon brauchbare tools, auch von MS selbst.

Empfehlenswerte Bücher zum Thema Windows Scripting sind die Bücher von Holger SChwichtenberg.

http://www.it-visions.de/buecher/Default.aspx

Unsere Migation von NT auf 2003 (AD) haben wir eigentlich komplett mit kix scripten und Excel :smile: gemacht.?! dazu gibts doch lecker ad migration tools von ms?!

?! dazu gibts doch lecker ad migration tools von ms?!

ja aber die machen eine direkte nt->AD migration und nehmen den ganzen müll mit, der aus organischen wachstum enstanden ist :biggrin:

will sagen wir haben unsere domäne parallel NEU erstellt und nicht wirklich migriert. Die Gruppen wuden nach neuen benennungsrichtlinien erstellt usw.
und wenn du alles neu machst musst du das ja irgendwie reinhacken!

Die ADMT (2.0) können user migrieren (evtl. auch Gruppen, bin mir über das gesamte Leistungspektrum nicht genau im Klaren) aber wir wollten den ganzen alten Müll nicht mitnehmen. Wir haben uns die Mühe gemacht, komplett aufzuräumen uns ALLES in Frage zu stellen, was vorher von uns selbst gemacht wurde.

Ausserdem kannst du mit den ADMT keine Drucker einrichten :P