Inhaltsverzeichnis
Einleitung
Für den Fall, dass Sie Benutzern, zeitlich begrenzt, erhöhte Berechtigungen geben müssen, beispielsweise, weil er sich Software installieren muss, können Sie mit dem unten verfügbaren PowerShell Skript eine ablaufende Sicherheitsgruppe erstellen, die automatisch gelöscht werden wird.
In unserem Beispiel werden wir diese Gruppe nach der Erstellung, nach Least Privilege, der Gruppe der lokalen Clientadministratoren hinzufügen und dann den Benutzer zum Mitglied der ablaufenden Gruppe machen.
Voraussetzungen
Zugang zum Domänen Controller, mit Administrator Berechtigungen
Installierter ADIS Editor auf dem Domänen Controller
Ausführbare PowerShell
Skript
[INT]$TTLminutes=60
$TTLSeconds = [int](New-TimeSpan -minutes $TTLminutes).TotalSeconds
$destinationOu="OU=Groups,DC=Testdom,DC=local"
$destinationOuObject = [ADSI]("LDAP://test-dc1-2016.testdom.local/" + $destinationOu)
$GroupName="TempClientAdminRights"
$TempGroup = $destinationOuObject.Create("group","CN=$GroupName")
$TempGroup.PutEx(2,"objectClass",@("dynamicObject","Group"))
$TempGroup.Put("entryTTL",$TTLSeconds)
$TempGroup.Put("sAMAccountName", $GroupName)
$TempGroup.Put("displayName", $GroupName)
$TempGroup.SetInfo()Vor dem Hintergrund, dass Sie das Skript sicher öfter benötigen werden, legen Sie es sich auf ihrem Domänen Controller als .ps1 Datei ab. Nicht auf dem Desktop speichern!
Gruppenerstellung
Öffnen Sie eine PowerShell als Administrator und fügen Sie das Skript ein (1).
Legen Sie fest, wann diese Gruppe wieder gelöscht werden soll (2).
Geben Sie an, in welcher Organisationseinheit die Gruppe erstellt soll (3).
Benennen Sie die Gruppe (4).
Führen Sie das Skript aus (5).
Wechseln Sie in die Active Directory-Benutzer und -Computer Verwaltung, in die Organisationseinheit, in der Sie die Gruppe erstellt haben.
Hier haben Sie, wie gewohnt, die Möglichkeit, die Mitgliedschaften zu verwalten (6) und die Einstellungen zu verifizieren (7).
