Filtrare computers accounts in AD

Buna ziua

As dori un script in power shell care sa faca urmatoarele :

1 - Sa mute niste computer accounturi si niste Security global groups dintrun Organizational unit in altul automat
ok. dar cum ( aici intervine problema )
Computer accounturile trebuie filtrate cam asa Sa fie mutate doar acele computeri accounturi care au in un anumit container o vechime mai mare de 24 ore ( iar cele la care de cand au fost mutate in cele 24 ore intervine un weeend sa se adauge 48 ore in plus pana se muta ). Problema este ca acele computer accounturi nu trebuie mutate la 24 de ore dupa ce s-au creat. ci la 24 de ore dupa ce au fost mutate manual in acel organizational unit. Ori nu am gasit in AD un atribut care sa imi indice de cand un obiect a fost mutat dintr-un container in altul. Cand a fost ultima modificare da. dar acea modificare poate fi orice ( de exemplu enabe or disable computer account ). Ori eu vreau sa fie mutate doar acele computer accounturi ce au foat mutate manual in acel OU de mai mult de 24 ore.
O idee ar fi  : sa se mute doar acele computer accounturi la care s-a modificat canonical name acum 24 ore ori max 48 + 24 ore pentru cele care intra in perioada de weekend dupa ce s-au mutate.

2 - Dupa de au fost mutate acele computer accounturi + security global group aferente in alt container prestabilit sa se goleasca grupurile aferente de memberii.
3- la sfarsit sa se ruleze un Gpupadate \force command.

Ca sa fie mai clar o sa prezint o structura de OU sin AD unde vreau sa aplic acest script.

Numele

Domeniul : ARO.com

UNIDESK - Sa zicem OU firmei ce are in management domeniul ARO.com

Sa zicem ca ARO.com are mai multe filiale in mai multe tari
In unele tari au mai multe Locatii

OU pentru tari ar fi :

AT- Austria cu doua Filiale

ATVIE - Viena si ATSALG Salzburg

BE - Belgia cu 2 filiale

BEBRU Bruxelles si BELIG Liege

DK - Danemarca cu 2 filiale

DKAAR AARHUS si DKCOP - Copenhaga

NL - olanda cu 2 filiale

NLHAG Haga si NLROT Rotterdam

si toat asa pentru alte 10 tari

Petru fiecare locatie ( oras ) exista un OU in AD sub care se afla urmatoarea structura de OU-uri

Client computers accounts
-----------Management Type ( toate urmatoarele se afla sub Management Type OU )
-----------------Fully Managed
---------------- Flexible
--------------- Partially managed
-------------- Production
-------------- Virtual

Acum - angajatii de la local IT din ARO.com au toti conturi de admin ce au priviledii de Local admin pe toate Client computerele din Management Type OU indifferent ca aceste client computer accounts sunt din Fully managed , flexible Partially production sau virtual.

Aceste privilegii de admin sunt setate printr-un grup policy ( GPO )

In continuare treburile se complica.

Uni useri ce folosesc zilnic aceste client computere au nevoie de local admin pe calculatoarele lor pentru maxim 24 ore. sau max 24 + 48 de ore daca cererea se face inainte de weekend.
OK
Eu ca angajat al UNIDESK ce face management al domeniului ARO.com o sa primesc un request de a muta de exemplu computer accountul : DKAAR-LPT100700 din OU : Fully Managed in OU Partially Managed impreuna cu Security grupurile : DKAAR-LPT100700_Administrators ; DKAAR-LPT100700_Power Users ; DKAAR-LPT100700_Remote-Desktop-Users ;  ( Aceste security grupuri sunt in acelasi OU cu computer account totdeauna - ude se muta computer accountul acolo se muta si grupurile )
Computer accountul se creaza cand se face deployment la client si se face automat in OU Fully managed automat si intotdeauna ).
Dupa ce eu primesc un reqest sa mut un computer account din Fully managed in Partially managed eu voi muta manual si Computer accountul si security grupurile in Partially managed iar apoi voi adauga userul ce trebuie sa primesca local admin privileges pentru 24 ore in grupul : DKAAR-LPT100700_Administrators. Acest grup este membru in local grupul administrators de pe : DKAAR-LPT100700.
Acum:
Eu vreau un script care dupa 24 de ore de cand computer accountul DKAAR-LPT100700 cu grupurile aferente au fost mutate manual in OU Partially Managed sa fie mutate automat in OU Fully managed ( iar acest lucru sa se intample pentyru toate computer accounturile masi vechi de 24 ore sau max 24 + 48 pentru cee ce incud weekendul  din absolut toate OU-rile din toate locatiile ( orasele ) iar dupa mutarea inapoi in fully managed a tuturor Computer accounturilor si grupurilor mai vechi de 24 ore de cand au fost mutate initial in Partally managed toti membrii din grupurile aferente ca de ex : DKAAR-LPT100700_Administrators sa fie scosi din grup iar apoi sa fie rulata o comanda de Gpupdate \ force
Frumos ar fi ca userul sau userii ce sunt membrii in grupurile aferente sa fie notificati automat cu 10 ore inaintye de a li se taia drepturile de local admin cerute 24 de ore inainte.

Acest lucru este necesar pentru ca unii angajati ai ARO.com sa poata sa faca management si instaleze pe client computerele lor sau de productie sau test aplicatii de layer 4 prduse intern de Aro.com pe care Unidesk nu are drepul de a le instala si nici a face management.

AD - Severe windows server 2008 R2

Edited by Cuparencuv, 15 February 2016 - 23:05.