Nach Job Collection ==> AD Benutzer in lokal Grp anlegen und auto. Anmeldung

Alle Fragen rund um das Rollout von Betriebssystemen
Antworten
Stroet
Beiträge: 9
Registriert: Sa Mai 02, 2020 6:54 pm

Hallo zusammen,OS Deployment

per OS Deployment wird eine Rechner installiert und dann per Job Collections mit allem notwendigen versorgt.
Allerdings funktioniert das nur vollautomatisch per lokalem Administrator.
Ich wünsche mir aber, den gesamten Vorgang zu automatisieren.
Da aber zum Teil Software installiert wird, die nur mit dem vorgesehenen AD Benutzer installiert werden muss / soll, ist folgendes notwendig:

1. OS Deployment mit AD Aufnahme
2. Nun sollte ein AD User in eine lokale Gruppe "Benutzer" eingefügt werden
3. Da nun die Software im Kontext des AD Users installiert werden soll / muss, wird hier eine Anmeldung des AD Users von ACPM notwendig
4. Nun folgen die Job Collections

Ich habe keine Ahnung, wie der Punkt 2 und 3 umgesetzt werden sollen oder diese in einem Rollout zu realsieren?
Wie macht ihr das?
Oder ist das vollautomatisch nicht möglich und ein manueller Zwischenschritt notwendig?

Danke.
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Hallo,

ich würde das ganze nach dem eigentlichen Rollout machen. Im Rollout kann dann z.B. ein Flag gesetzt werden sodass der Client automatisch in einen Container fällt.
Dort könnte man dann mit CCs das ganze umsetzen. Während des Rollouts wird aber mit dem lokalen Administrator gearbeitet.
Ein Domainjoin kann aber auch schon während des Rollouts durchgeführt werden.
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
Ralf.Lueders
Beiträge: 14
Registriert: Mi Dez 09, 2020 1:54 pm

so hab ich das gemacht:

$adAdminUser="%AD_ADMIN_USER%"
$adAdminPassword="%AD_ADMIN_PASSWORD%"
$adDomain="%AD_DOMAIN%"

$localAdminUser = "%LOCAL_ADMIN_USER%"
$localAdminCode = "%LOCAL_ADMIN_CODE%"
$localAdminGroup = "%LOCAL_ADMIN_GROUP%"+ "@" + $adDomain
$OU="%OU_CLIENT%"

$pcName = $env:computername

$localPassword = "x"+ $pcName.toLower() + $localAdminCode
$localSecPass = ConvertTo-SecureString -String $localPassword -AsPlainText -Force
New-LocalUser -Name $localAdminUser -FullName $localAdminUser -PasswordNeverExpires -Password $localSecPass -UserMayNotChangePassword
Add-LocalGroupMember -Group "Administratoren" -Member $localAdminUser

$adSecPass = ConvertTo-SecureString -String $adAdminPassword -AsPlainText -Force
$adCred = New-Object System.Management.Automation.PSCredential -ArgumentList $adAdminUser, $adSecPass
Add-Computer -ComputerName $pcName -Credential $adCred -DomainName $adDomain -OUPath $OU -Force
Add-LocalGroupMember -Group "Administratoren" -Member $localAdminGroup
Disable-LocalUser Administrator


Ciao
Ralf
Antworten