Active Directory, Powershell cmdlet new-user, IIS, Single Sign On im Intranetportal: funktioniert nicht nach Skript, nur noch manuellem Anlegen von Benutzern
Hallo zusammen,
ich habe mir ein Powershellskript gebaut, welches Active Directory User in einer 2012'er Domäne anlegt.
Hier der relevante Codeschnipsel (das gesamte Skript ist riesig). Pfade und Variablen für hier eingekürzt bzw. anonymisiert:
Ich lege also eine Reihe von Benutzern an und weise diesen zusätzlich einige Berechtigungsgruppen zu.
Jetzt ist es so, dass unser Intranetportal (Basierend auf Intrexx von United Planet) ein Single Sign On mittels des IIS7 durchführt. Dies funktioniert problemlos, wenn ich Benutzer manuell über die Active Directory GUI anlege.
Problem
Wenn ich Benutzer mittels Skript anlege, wird der Benutzer im Portal nicht mittels Single Sign On angemeldet.
Die (manuelle) Lösung ist, ein per Skript angelegten Benutzer über die AD GUI zu öffnen, jeweils den Benutzeranmeldenamen zu ändern (z. B. eine 2 hinten dran hängen), zu speichern und diese Änderung anschließend wieder rückgängig zu machen.
Hiernach kann sich auch der per Skript angelegte Benutzer normal über Single Sign On im Portal anmelden (lassen).
Was habe ich bisher probiert
Das Portal selbst bietet eine Batch Datei zum Debug eines Logins, welche allerdings für alle möglichen Kombinationen von Anmeldenamen ein Sucess ausgibt.
Ein Diff zweier Benutzer (einmal normal erzeugt, einmal per Skript) der Ausgabe von get-aduser ... properties * hat ergeben, dass natürlich einige Felder unterschiedlich sind, nicht aber solche wie useraccountcontrol oder samaccountype. Außerdem sind alle Felder, die beim manuell erzeugten Benutzer gefüllt sind, auch beim per Skript erzeugten Benutzer gefüllt.
Gruppenmitgliedschaften stimmen ebenfalls überein und sind ausreichend vorhanden.
Ein einfaches Öffnen und Speichern des geskripteten Benutzers reicht nicht aus, man muss schon den Benutzeranmeldenamen ändern und dann speichern (anschließend natürlich wieder rückgängig machen).
Auch ein VBSkript, welches ich letztes Jahr geschrieben hatte, zeigte genau dieses Verhalten. Der Hersteller des Portals ist bisweilen auch ratlos, da die login debug Batchdatei ja ein erfolgreiches einloggen ausgibt.
Und was nun?
Ich habe leider keine weitere Idee, wo ich noch gucken kann oder was die GUI evtl. anders macht als mein Skript. Ich suche den Fehler zur Zeit auch nicht im Portal, sondern eher am IIS oder fehlenden Attribut Einträgen des AD Users.
Gibt es etwas, was ich prüfen kann, um hier einen Schritt weiter zu kommen?
Systemeckpunkte
Intranetportal basierend auf Intrexx von United Planet auf einem Windows Server 2008 R2, eine MS SQL 2008 DB und als Webserver dem IIS7 mit aktivierter Windows Authentifizierung
Active Direcory 2012
Powershell mit AD Erweiterung
Clients: Bunt gemischt, von Win XP bis Win 8 ist alles dabei. Browser: IE8 bis IE11, aber auch Firefox (kann auch das SSO wenn man es ihm sagt)
Alles im internen Netzwerk
Vielen Dank für eure Hilfe.
PPS: Leider kann ich nur ein Thema auswählen, obwohl hier gleich eine ganze Reihe von Themen betroffen sind (Powershell, Active Directory, IIS, Single Sign On). Falls jemand der Meinung ist, ich hätte in einem anderen Themenbereich mehr Erfolg, bitte ich um kurzen Hinweis.
ich habe mir ein Powershellskript gebaut, welches Active Directory User in einer 2012'er Domäne anlegt.
Hier der relevante Codeschnipsel (das gesamte Skript ist riesig). Pfade und Variablen für hier eingekürzt bzw. anonymisiert:
new-aduser -name "Test, Benutzer" -samaccountname "B.Test" -UserPrincipalName "b.test@domain.local" -AccountPassword (ConvertTo-SecureString -AsPlainText "meinPasswort" -Force) -DisplayName "Test, Benutzer" -GivenName "Benutzer" -Surname "Test" -path "OU=Users,DC=domain,DC=local"
Ich lege also eine Reihe von Benutzern an und weise diesen zusätzlich einige Berechtigungsgruppen zu.
Jetzt ist es so, dass unser Intranetportal (Basierend auf Intrexx von United Planet) ein Single Sign On mittels des IIS7 durchführt. Dies funktioniert problemlos, wenn ich Benutzer manuell über die Active Directory GUI anlege.
Problem
Wenn ich Benutzer mittels Skript anlege, wird der Benutzer im Portal nicht mittels Single Sign On angemeldet.
Die (manuelle) Lösung ist, ein per Skript angelegten Benutzer über die AD GUI zu öffnen, jeweils den Benutzeranmeldenamen zu ändern (z. B. eine 2 hinten dran hängen), zu speichern und diese Änderung anschließend wieder rückgängig zu machen.
Hiernach kann sich auch der per Skript angelegte Benutzer normal über Single Sign On im Portal anmelden (lassen).
Was habe ich bisher probiert
Das Portal selbst bietet eine Batch Datei zum Debug eines Logins, welche allerdings für alle möglichen Kombinationen von Anmeldenamen ein Sucess ausgibt.
Ein Diff zweier Benutzer (einmal normal erzeugt, einmal per Skript) der Ausgabe von get-aduser ... properties * hat ergeben, dass natürlich einige Felder unterschiedlich sind, nicht aber solche wie useraccountcontrol oder samaccountype. Außerdem sind alle Felder, die beim manuell erzeugten Benutzer gefüllt sind, auch beim per Skript erzeugten Benutzer gefüllt.
Gruppenmitgliedschaften stimmen ebenfalls überein und sind ausreichend vorhanden.
Ein einfaches Öffnen und Speichern des geskripteten Benutzers reicht nicht aus, man muss schon den Benutzeranmeldenamen ändern und dann speichern (anschließend natürlich wieder rückgängig machen).
Auch ein VBSkript, welches ich letztes Jahr geschrieben hatte, zeigte genau dieses Verhalten. Der Hersteller des Portals ist bisweilen auch ratlos, da die login debug Batchdatei ja ein erfolgreiches einloggen ausgibt.
Und was nun?
Ich habe leider keine weitere Idee, wo ich noch gucken kann oder was die GUI evtl. anders macht als mein Skript. Ich suche den Fehler zur Zeit auch nicht im Portal, sondern eher am IIS oder fehlenden Attribut Einträgen des AD Users.
Gibt es etwas, was ich prüfen kann, um hier einen Schritt weiter zu kommen?
Systemeckpunkte
Intranetportal basierend auf Intrexx von United Planet auf einem Windows Server 2008 R2, eine MS SQL 2008 DB und als Webserver dem IIS7 mit aktivierter Windows Authentifizierung
Active Direcory 2012
Powershell mit AD Erweiterung
Clients: Bunt gemischt, von Win XP bis Win 8 ist alles dabei. Browser: IE8 bis IE11, aber auch Firefox (kann auch das SSO wenn man es ihm sagt)
Alles im internen Netzwerk
Vielen Dank für eure Hilfe.
PPS: Leider kann ich nur ein Thema auswählen, obwohl hier gleich eine ganze Reihe von Themen betroffen sind (Powershell, Active Directory, IIS, Single Sign On). Falls jemand der Meinung ist, ich hätte in einem anderen Themenbereich mehr Erfolg, bitte ich um kurzen Hinweis.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 213098
Url: https://administrator.de/contentid/213098
Ausgedruckt am: 14.11.2024 um 23:11 Uhr
1 Kommentar