Ziel:
Das Ziel ist die automatisierte Anlage von Active Directory Gruppen für die Datei- und Ordnerberechtigungen. (Multiple AD Groups)
Angelegt wird eine domainlokale und eine globale Gruppe. Beide werden verschachtelt. (globale Gruppe als Mitglied der domainlokalen Gruppe).
Etwaige Benutzerobjekte werden dann im Anschluss (manuell) in die erzeugte globale Gruppe aufgenommen.
Angepasst werden muss je nach Bedarf Ablageort (OU) für eure spezifische Umgebung.
'Lokale und Globale Gruppe anlegen, verschachteln und Beschreibung setzen
Const ADS_GROUP_TYPE_GLOBAL_GROUP = 2
Const ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP = 4
Const ADS_GROUP_TYPE_UNIVERSAL_GROUP = 8
Const ADS_GROUP_TYPE_SECURITY_ENABLED = &h80000000
Name=InputBox("Gruppennamen?","Userinput")
G_Group = Name + "GLOBAL"
L_Group = Name + "LOCAL"
' GetObject
Set ou = GetObject("LDAP://rootdse")
Set gruppe = ou.Create("group", "cn=" + G_Group)
gruppe.sAMAccountName = G_Group
gruppe.groupType = ADS_GROUP_TYPE_GLOBAL_GROUP_
+ ADS_GROUP_TYPE_SECURITY_ENABLED
gruppe.SetInfo
Set gruppe_G = ou.GetObject("group", "cn=" + G_Group)
' GetObject
Set ou = GetObject("LDAP://rootdse")
Set gruppe = ou.Create("group", "cn=" + L_Group)
gruppe.sAMAccountName = L_Group
gruppe.groupType = ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP_
+ ADS_GROUP_TYPE_SECURITY_ENABLED
gruppe.SetInfo
Set gruppe_L = ou.GetObject("group", "cn=" + L_Group)
gruppe_L.Add gruppe_G.ADsPath
MsgBox "Gruppen angelegt sowie globale in lokale Gruppe aufgenommen."
Domainlokale und globale Gruppen sind Konzepte in Active Directory, einem Verzeichnisdienst von Microsoft, der zur Verwaltung von Benutzern, Gruppen und Ressourcen in einer Windows-Domäne verwendet wird. Hier ist der Unterschied zwischen domainlokalen und globalen Gruppen:
- Globale Gruppen:
- Globale Gruppen dienen hauptsächlich zur Verwaltung von Benutzerkonten und Gruppen aus der gesamten Domäne.
- Sie können Mitglieder aus derselben Domäne und auch Mitglieder aus vertrauenden Domänen enthalten.
- Globale Gruppen können in andere globale Gruppen derselben Domäne oder in domainlokale Gruppen derselben Domäne eingebettet werden.
- Sie sind am besten geeignet, um Zugriff auf Ressourcen und Berechtigungen zu verwalten, die auf Domänenebene gelten sollen.
- Domainlokale Gruppen:
- Domainlokale Gruppen werden normalerweise verwendet, um den Zugriff auf Ressourcen und Berechtigungen auf Servern und Ressourcen in derselben Domäne zu steuern.
- Sie können Mitglieder aus derselben Domäne sowie aus anderen Domänen enthalten.
- Domainlokale Gruppen können in globale Gruppen und andere domainlokale Gruppen eingebettet werden.
- Sie sind am besten geeignet, um Zugriff auf lokale Ressourcen, wie z.B. Dateifreigaben auf einem Server, zu steuern.
In der Regel wird eine Organisationsstruktur in Active Directory so aufgebaut, dass globale Gruppen Benutzer zusammenfassen, die ähnliche Aufgaben oder Berechtigungen haben. Diese globalen Gruppen werden dann in domainlokale Gruppen eingebettet, um den Zugriff auf spezifische Ressourcen zu kontrollieren. Diese Struktur bietet Flexibilität bei der Verwaltung von Berechtigungen und erleichtert die Verwaltung von Benutzern und Ressourcen in einer Active Directory-Umgebung.
Die Ausführung bestimmter Tools erfordert spezielle Rechte (administrativer Art). Ich übernehme keinerlei Gewährleistung für evtl. auftretende Schäden. Sie benutzen das Tool auf eigene Gefahr. Bitte sichern Sie zuvor Ihre Daten!
Michael Leidig
Bei Fragen benutzt das Kontaktformular.
