Seite 1 von 1

Nach Job Collection ==> AD Benutzer in lokal Grp anlegen und auto. Anmeldung

Verfasst: Sa Aug 29, 2020 10:22 pm
von Stroet
Hallo zusammen,OS Deployment

per OS Deployment wird eine Rechner installiert und dann per Job Collections mit allem notwendigen versorgt.
Allerdings funktioniert das nur vollautomatisch per lokalem Administrator.
Ich wünsche mir aber, den gesamten Vorgang zu automatisieren.
Da aber zum Teil Software installiert wird, die nur mit dem vorgesehenen AD Benutzer installiert werden muss / soll, ist folgendes notwendig:

1. OS Deployment mit AD Aufnahme
2. Nun sollte ein AD User in eine lokale Gruppe "Benutzer" eingefügt werden
3. Da nun die Software im Kontext des AD Users installiert werden soll / muss, wird hier eine Anmeldung des AD Users von ACPM notwendig
4. Nun folgen die Job Collections

Ich habe keine Ahnung, wie der Punkt 2 und 3 umgesetzt werden sollen oder diese in einem Rollout zu realsieren?
Wie macht ihr das?
Oder ist das vollautomatisch nicht möglich und ein manueller Zwischenschritt notwendig?

Danke.

Re: Nach Job Collection ==> AD Benutzer in lokal Grp anlegen und auto. Anmeldung

Verfasst: Mo Aug 31, 2020 9:22 am
von Dennis Koch
Hallo,

ich würde das ganze nach dem eigentlichen Rollout machen. Im Rollout kann dann z.B. ein Flag gesetzt werden sodass der Client automatisch in einen Container fällt.
Dort könnte man dann mit CCs das ganze umsetzen. Während des Rollouts wird aber mit dem lokalen Administrator gearbeitet.
Ein Domainjoin kann aber auch schon während des Rollouts durchgeführt werden.

Re: Nach Job Collection ==> AD Benutzer in lokal Grp anlegen und auto. Anmeldung

Verfasst: Fr Mai 14, 2021 12:51 am
von Ralf.Lueders
so hab ich das gemacht:

$adAdminUser="%AD_ADMIN_USER%"
$adAdminPassword="%AD_ADMIN_PASSWORD%"
$adDomain="%AD_DOMAIN%"

$localAdminUser = "%LOCAL_ADMIN_USER%"
$localAdminCode = "%LOCAL_ADMIN_CODE%"
$localAdminGroup = "%LOCAL_ADMIN_GROUP%"+ "@" + $adDomain
$OU="%OU_CLIENT%"

$pcName = $env:computername

$localPassword = "x"+ $pcName.toLower() + $localAdminCode
$localSecPass = ConvertTo-SecureString -String $localPassword -AsPlainText -Force
New-LocalUser -Name $localAdminUser -FullName $localAdminUser -PasswordNeverExpires -Password $localSecPass -UserMayNotChangePassword
Add-LocalGroupMember -Group "Administratoren" -Member $localAdminUser

$adSecPass = ConvertTo-SecureString -String $adAdminPassword -AsPlainText -Force
$adCred = New-Object System.Management.Automation.PSCredential -ArgumentList $adAdminUser, $adSecPass
Add-Computer -ComputerName $pcName -Credential $adCred -DomainName $adDomain -OUPath $OU -Force
Add-LocalGroupMember -Group "Administratoren" -Member $localAdminGroup
Disable-LocalUser Administrator


Ciao
Ralf