erikro
08.11.2021, aktualisiert um 11:14:25 Uhr
view1584
view8
0
Goto Top

Domänen-Benutzer leer und doch nicht leer

gelöstFrageEntwicklungBatch, Shell
Moin,

bei meinen Aufräumarbeiten wollte ich gerne leere Sicherheitsgruppen finden. Also habe ich mit

Get-ADGroup -filter 'groupscope -eq "Global"' -Properties members | ?{-not $_.members}

mir die leeren globalen Gruppen ausgeben lassen und fand zu meiner Überraschung in der Liste auch die Gruppe "Domänen-Benutzer". Nachgeguckt in AD Benutzer und Computer. Natürlich sind da alle User drin. Hmmmm. Auch

get-adgroup Domänen-Benutzer -Properties members | select -ExpandProperty members

bleibt leer. Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?

<edit>Andersherum mit
get-aduser foo -Properties memberof | select -ExpandProperty memberof
wird die Gruppe auch nicht angezeigt. Ich bin verwirrt.
</edit>

Liebe Grüße

Erik
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1482334453

Url: https://administrator.de/forum/domaenen-benutzer-leer-und-doch-nicht-leer-1482334453.html

Ausgedruckt am: 29.03.2025 um 07:03 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
lcer00
lcer00 08.11.2021 um 11:23:42 Uhr
Goto Top
Hallo,

interessant. Aber vermutlich hängt das damit zusammen, dass das ja eine dynamische Gruppe ist. Alle Domänenbenutzer sind ja automatisch Mitglied dieser Gruppe - ohne dass sie speziell zugewiesen worden. Klappt das auch mit "DomänenController" und "DomänenComputer" ?

Grüße

lcer
149569
Lösung 149569 08.11.2021 aktualisiert um 11:30:50 Uhr
Goto Top
Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?
Weil "Domänen-Benutzer" die primäre Gruppe (PrimaryGroup) der User ist, deswegen taucht die bei Memberof auch nicht auf face-wink.

screenshot

screenshot
lcer00
lcer00 08.11.2021 um 11:30:35 Uhr
Goto Top
https://stackoverflow.com/questions/11941929/get-all-empty-groups-in-act ...

Es gibt da wohl ein member-Attribut ... das nicth gesetzt ist.

Grüße

lcer
erikro
erikro 08.11.2021 um 11:31:26 Uhr
Goto Top
Moin,

Zitat von @149569:

Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?
Weil "Domänen-Benutzer" die primäre Gruppe der User ist, deswegen taucht die bei Memberof auch nicht auf face-wink.

Interessant. Mit get-ADGroupMember geht es auch mit der primären Gruppe. Danke. Wieder was gelernt. face-wink

Liebe Grüße

Erik
erikro
erikro 08.11.2021 um 11:44:03 Uhr
Goto Top
Wirklich spannend. Ich habe das jetzt mal getestet und bei htester die primäre Gruppe geändert:

get-aduser htester -Properties memberof | select -ExpandProperty memerof
CN=g_special_logon,OU=global_groups,DC=acme,DC=de
CN=g_verwaltung,OU=global_groups,DC=acme,DC=de
CN=Domänen-Benutzer,CN=Users,DC=acme,DC=de

Und schon geht's. face-wink
149569
Lösung 149569 08.11.2021 aktualisiert um 13:06:22 Uhr
Goto Top
Zitat von @erikro:

Wirklich spannend. Ich habe das jetzt mal getestet und bei htester die primäre Gruppe geändert:

> get-aduser htester -Properties memberof | select -ExpandProperty memerof
> CN=g_special_logon,OU=global_groups,DC=acme,DC=de
> CN=g_verwaltung,OU=global_groups,DC=acme,DC=de
> CN=Domänen-Benutzer,CN=Users,DC=acme,DC=de
>

Und schon geht's. face-wink

Tipp: Get-ADPrincipalGroupMembership listet die PrimaryGroup für Accounts immer mit auf, dann braucht man die primäre nicht separat abfragen.
erikro
erikro 08.11.2021 um 13:12:40 Uhr
Goto Top
Zitat von @149569:
Tipp: Get-ADPrincipalGroupMembership listet die PrimaryGroup für Accounts immer mit auf, dann braucht man die primäre nicht separat abfragen.

Eigentlich stört es mich gar nicht, dass Domänen-Benutzer nicht dabei ist. Da hat bei MS mal jemand richtig nachgedacht. face-wink Meistens will man ja gar nicht wissen, dass der User da auch drin ist. Das weiß man ja sowieso.
149569
149569 08.11.2021 aktualisiert um 13:19:14 Uhr
Goto Top
Zitat von @erikro:
Meistens will man ja gar nicht wissen, dass der User da auch drin ist. Das weiß man ja sowieso.
Ja "meistens" aber eben nicht immer. Wenn man z.B. in vielen AD Umgebungen unterwegs ist ist das ja nicht immer so. Kenne da einige bei denen das bspw. nicht so ist, in etwa bei Multi-Tenant Szenarios.
gelöstFrageEntwicklungBatch, Shell
Mehr von erikroerikroCheckMK - IDRAC via IPMIerikro - 9 KommentareerikroExchange forwarded an nicht mehr existente Adresseerikro - 9 KommentareerikroNew-Inboxrule läuft in Fehlererikro - 7 KommentareerikroExchange Raumpostfach - Ablehnungstext ändernerikro - 1 Kommentar
Heiß diskutiert
kreuzbergerFestplatte erscheint als "nicht initialisiert"kreuzberger - 44 KommentarejimmmyCisco Catalyst 1200 vs HPE Aruba 1930?jimmmy - 40 KommentareTschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 36 Kommentarer2d2r3poNetzwerk Ausfäller2d2r3po - 32 KommentarepaperanKaufberatung Notebook 17 Zollpaperan - 31 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 23 KommentarefnbaluLSI Avago 9265-8i Problemefnbalu - 21 KommentareMarkowitschHP Mini-PC startet nicht mehrMarkowitsch - 20 KommentareMarcoKerProbleme beim Rejoin von Computern unter Windows 11MarcoKer - 17 KommentareFrankZur Sicherheit der Signal-App im Kontext des aktuellen US-LeaksFrank - 15 KommentarempanziUnterschied Hardware-Server zu VM für Clientmpanzi - 15 KommentareJet1199Exchange 2007 und 2019 gleichzeitig (während Migration)Jet1199 - 15 Kommentare