If User is in AD group

Alle Fragen rund um das Rollout von Betriebssystemen
Antworten
Leenchen
Beiträge: 11
Registriert: Fr Okt 20, 2017 9:14 am

Hallo zusammen,

ich versuche ein ClientCommand zu erstellen, dass beim OS Deployment eingesetzte werden soll.
Hier möchte ich abfragen, ob ein Benutzer Mitglied einer Gruppe ist. Der samAccountName ist bereits in einer Variable gespeichert. Mit dem Befehl "IF user is in group" komme ich nicht weiter, da ich hier keinen Benutzer übergeben kann.

Gibt es im ACMP einen Befehl/Trick den ich verwenden kann oder muss ich mein eigenes Script schreiben?

Mit freundlichen Grüßen
Cathleen Moser
fthielmann
Beiträge: 5
Registriert: Mo Feb 19, 2018 2:58 pm

Hallo Frau Moser,

mit dem Baustein "If user is (not) in group" wird bei der ClientCommand Ausführung überprüft, ob der gerade angemeldete Benutzer in der angegebenen Gruppe ist.
Können Sie kurz Ihren Use Case erläutern, warum Sie dem Baustein einen Benutzer übergeben möchten?
Mit freundlichen Grüßen / Best regards

Fabian Thielmann
Aagon GmbH
Leenchen
Beiträge: 11
Registriert: Fr Okt 20, 2017 9:14 am

Hallo Herr Thielmann,

der Client Command soll währed des Rollouts des Rechners ausgeführt werden. Zu deisem Zeitpunkt ist ein Installaitons User angemeldet, nicht der Mitarbeiter der den Rechner später verwenden wird.
Ich möchte die Gruppen des AD Users der den Rechner später verwendet abfragen. Anhand der Mitgliedschaft möchte ich entscheiden, welche RDP-Verknüpfung ich ihm auf den Desktop lege.

Mit freundlichen Grüßen
Cathleen Moser
fthielmann
Beiträge: 5
Registriert: Mo Feb 19, 2018 2:58 pm

Hallo Frau Moser,

um die AD-Gruppen des Users auszulesen, können Sie den Baustein "Search LDAP Directory" verwenden.
Anbei ein kleines Beispielcommand.
Die erste LDAP Abfrage in dem CC wird benötigt, um den Distinguishedname auszulesen.
Anschließend werden über den Distinguishedname die Gruppen des Users ausgelesen.
Die If Verzweigung müssen Sie noch auf Ihre Gruppe abändern, die Sie abfragen möchten. Des Weiteren müssen Sie das CC auch noch auf Ihre Domäne anpassen.
Dateianhänge
MemberOF__{0FF78AF6-3C2A-46FA-AF99-23C98C939803}.sim
(4.25 KiB) 471-mal heruntergeladen
Mit freundlichen Grüßen / Best regards

Fabian Thielmann
Aagon GmbH
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Leenchen,

ich habe mal eine Funktion angehangen, die wir hier so einsetzen; Sie erwartet die zu prüfende Gruppe als Parameter %GROUPNAME% und gibt als Ergebnis "True" zurück, sollte der Benutzer in der Gruppe sein, anderenfalls liefert sie "False". Der Benutzer wird in diesem Fall aus der Registry gelesen (wir nutzen die Computerbeschreibung, um die Zugehörigkeit zu Benutzern darzustellen).
Hierfür wird eine einzige lokale WMI-Abfrage genutzt und es muss Nichts iteriert werden o.Ä., insgesamt sind es 7 Zeilen und sehr übersichtlich, sodass es sich super anpassen lassen sollte.
Dateianhänge
Is computer user in AD group__{CDE702D6-FCAC-4500-A6A3-1D592C315B74}.sim
(6.36 KiB) 379-mal heruntergeladen
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Leenchen
Beiträge: 11
Registriert: Fr Okt 20, 2017 9:14 am

Hallo zusammen,

Vielen Dank für Ihre Antworten.

@ Herr Thielmann: Ich habe den Client Command ausprobiert und er funktioniert.
@ Herr Gottschalk: Ihre Funktion funktioniert für mich auch mit kleinen Anpassungen und ist die Variante, die wir nun verwenden.

Mit freundlichen Grüßen
Cathleen Moser
Antworten