Mit der PowerShell Gruppenmitgliedschaften in großen Mengen ändern

Neulich stand ich mal wieder vor dem Problem. In einer größeren Kundenumgebung sollten die Clientbetriebssystem mal wieder fachgerecht mit Updates versorgt werden. Gemäß den Vorgaben des Unternehmens sollten Updates aber vorab geprüft und erst dann für die breite Masse genehmigt werden.

Gesagt, getan. Auf dem vorhandenen WSUS 3 erst einmal richtig aufgeräumt und dann für Windows XP, Windows 7, die Server und die Testsysteme die benötigten Computergruppen angelegt. Weiter in die GPMC und für jede Gruppe eine angepasste GPO erstellt und für jede Computergruppe im WSUS die Einstellung “Zielgruppenname für diesen Computer” konfiguriert.

image

Jetzt nur noch die GPO mit der Domäne verknüpfen… Ab hier begann die wirkliche Arbeit. Alle Clientsysteme waren im AD in verschiedenen OUs kreuz und quer ohne erkennbares Muster verteilt. Wie also jetzt den Clients die endsprechende Policy zuweisen? Ok, Sicherheitsfilterung von GPOs mit AD-Gruppen. Alles Clients einer Gattung in eine Sicherheitsgruppe und die GPO filtern. Bei über 100 Clients macht das aber manuell auch keinen Spaß… Ein Script musste her.

Im ersten Schritt das Modul für Active Directory importieren:

Import-Module ActiveDirectory

Danach erst mal die Clients mit Hilfe des Cmtlet Get-ADComputer suchen. In diesem Beispiel mit –like und Windows 7* damit man auch die Enterpisse und Professional Editionen in einem Zug findet:

Get-ADComputer -Filter ‚OperatingSystem -like „Windows 7*“‚
Damit das ganze nun komplett wird:
Add-ADGroupMember
-Identity GG-Computer-Windows-Update-WindowsXP-Clients

-Members (Get-ADComputer -Filter ‚OperatingSystem -like „Windows XP*“‚)

Dauert nur einen Bruchteil einer Sekunde und alle Windows 7 Clients sind in der endsprechenden Sicherheitsgruppe. Das ganze noch mal für die XP-Clients, fertig.

Dieser Eintrag wurde veröffentlicht in PowerShell, Windows Server von Alexander Damm. Permanenter Link des Eintrags.
Alexander Damm

Über Alexander Damm

Seit Windows Server 2000 beschäftige ich mich mit den Betriebssystemen von Microsoft. Dabei liegen meine Schwerpunkte auf Active Directory, Exchange Server, Lync bzw. Skype for Business, Cloud Services wie Office 365 oder Azure sowie Security Analysen, Lösungen und Konzepte. Beruflich agiere ich als System Consultant für die datom GmbH aus Dresden und freue mich auf ihre Anmerkungen oder Anfragen.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.