Zuerst lesen wir die Gruppenliste des Referenznutzers KMustermann in die Variable Gruppenliste.

$Gruppenliste = Get-ADUser -Properties MemberOf -Identity 'KMustermann'

Im Anschluss übertragen wir die diese Gruppen mit dem zweiten Befehl zu dem Nutzer KHerter.

Add-ADPrincipalGroupMembership -MemberOf $Gruppenliste.MemberOf -Identity 'KHerter' 

Sind bei dem Zielnutzer (KHerter) schon diverse Gruppen enthalten, so werden die Gruppen des Referenznutzers (KMustermann) addiert. Eine entsprechende Fehlermeldung, falls eventuelle Nutzergruppen schon vorhanden, sind gibt es nicht.

$usr = "adm-local"
$pw = ConvertTo-SecureString -String "Dein-ultrageheimes-Passwort" -AsPlainText -Force
New-LocalUser -Name $usr -Password $pw -Description "Lokaler Administrator"
Add-LocalGroupMember -Name Administratoren -Member $usr

Natürlich sollte in der ersten Zeile der Name des neuen Nutzers anpasst werden. Ebenfalls das „Dein-ultrageheimes-Passwort“ durch ein sicheres ersetzt werden.

Um einen lokalen Nutzer zu löschen kann sehr einfach folgende Zeile verwendet werden:

Remove-LocalUser "adm-local"

Mit der Konbination aus Benutzer und Passwort kann man sich immer noch mittels SSH anmelden. Somit bleibt einem noch folgender Kniff übrig. Dazu melden wir uns auf der Console an und geben folgenden Befehl um den ClouKey Benutzer heraus zu bekommen ein:

mongo --port 27117 ace --eval "db.admin.find().forEach(printjson);"

Im zweiten Schritt kann man mit nachstehendem Einzeiler das Passwort auf „password“ zurücksetzen:

mongo --port 27117 ace --eval 'db.admin.update( { "name" : "admin" }, { $set : { "x_shadow" : "$6$9Ter1EZ9$lSt6/tkoPguHqsDK0mXmUsZ1WE2qCM4m9AQ.x9/eVNJxws.hAxt2Pe8oA9TFB7LPBgzaHBcAfKFoLpRQlpBiX1" } } )'

Alternativ bleib nur eine Datensicherung der Site (über den Manager Link) zu erstellen, den CloudKey zurückzusetzen und die Datensicherung der Site wieder einspielen.
Anschliessend sollte man auf jeden Fall nach Updates der Firmware suchen und gleich einspielen.

Es wird dabei der Befehl zum Erstellen eines Benutzerzertifikats, als auch den Befehl zum Anlegen Benutzer selbst ausgegeben.

Voraussetzung dabei ist, dass eine entsprechende CA zuvor erstellt wurde. Die ID der CA wird für das Excel-Dokument benötigt und kann mit folgendem Befehl ganz einfach ermittelt werden:

ssh admin@10.68.0.1 'cert get' |grep "CA:TRUE"

Diese ID merken wir uns und tragen diese gleich in die Konfigurationsseite des Excel Dokuments ein.

Starten wir nun das Excel Dokument und wechseln auf das Blatt „Config“. Dort tragen wir an markierter Stelle die zuvor ermittelte ID der CA ein. Natürlich passen wir die Organisationsdaten auf unsere eigenen Bedürfnisse an.

Anschliessend wechseln wir wieder zum Blatt „Anwender“ und geben jeweils Vorname, Nachname, Mailadresse und Passwort ein. Oben wird auch noch ein zufälliges Passwort angeboten. Diese kann man in die Zwischenablage kopieren, sollte aber beim Einfügen aufpassen das nur die Werte in das Feld eingefügt werden!

In der Spalte „E“ befinden sich nun die CLI Befehle um die drei Beispiel-Zertifikate anzulegen. In der Spalte „F“ sind die Befehle um die Benutzer anzulegen.

Num muss man sich nur als admin auf der SecurePoint UTM mittels SSH anmelden und nacheinander die Befehle hinkopieren und ausführen.
Auf diese Art kann man sehr einfach viele Nutzer anlegen. Leider muss man in der Variante 1.3 meines Excel Dokuments im Anschluss über das Webinterface noch die Nutzerrechte anpassen. Für openVPN z.B. muss man im Benutzer noch das entsprechende Zertifikat zuordnen.
Die „grobe“ Arbeit ist aber erst mal getan und die Nutzer sind beim Abspeichern des Excel Dokuments auch gleich dokumentiert.

Wer mag kann das PRE beim Benutzer- und Zertifikatsnamen noch anpassen oder leer lassen. Dies kann man im Tabellenblatt „Config“ einfach bewerkstelligen.