8
Domänen-Benutzer leer und doch nicht leer
Moin,
bei meinen Aufräumarbeiten wollte ich gerne leere Sicherheitsgruppen finden. Also habe ich mit
mir die leeren globalen Gruppen ausgeben lassen und fand zu meiner Überraschung in der Liste auch die Gruppe "Domänen-Benutzer". Nachgeguckt in AD Benutzer und Computer. Natürlich sind da alle User drin. Hmmmm. Auch
bleibt leer. Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?
<edit>Andersherum mit
wird die Gruppe auch nicht angezeigt. Ich bin verwirrt.
</edit>
Liebe Grüße
Erik
bei meinen Aufräumarbeiten wollte ich gerne leere Sicherheitsgruppen finden. Also habe ich mit
Get-ADGroup -filter 'groupscope -eq "Global"' -Properties members | ?{-not $_.members} mir die leeren globalen Gruppen ausgeben lassen und fand zu meiner Überraschung in der Liste auch die Gruppe "Domänen-Benutzer". Nachgeguckt in AD Benutzer und Computer. Natürlich sind da alle User drin. Hmmmm. Auch
get-adgroup Domänen-Benutzer -Properties members | select -ExpandProperty membersbleibt leer. Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?
<edit>Andersherum mit
get-aduser foo -Properties memberof | select -ExpandProperty memberof</edit>
Liebe Grüße
Erik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1482334453
Url: https://administrator.de/contentid/1482334453
Printed on: April 19, 2024 at 18:04 o'clock
8 Comments
Latest comment
Hallo,
interessant. Aber vermutlich hängt das damit zusammen, dass das ja eine dynamische Gruppe ist. Alle Domänenbenutzer sind ja automatisch Mitglied dieser Gruppe - ohne dass sie speziell zugewiesen worden. Klappt das auch mit "DomänenController" und "DomänenComputer" ?
Grüße
lcer
interessant. Aber vermutlich hängt das damit zusammen, dass das ja eine dynamische Gruppe ist. Alle Domänenbenutzer sind ja automatisch Mitglied dieser Gruppe - ohne dass sie speziell zugewiesen worden. Klappt das auch mit "DomänenController" und "DomänenComputer" ?
Grüße
lcer
Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?
Weil "Domänen-Benutzer" die primäre Gruppe (PrimaryGroup) der User ist, deswegen taucht die bei Memberof auch nicht auf 
.
https://stackoverflow.com/questions/11941929/get-all-empty-groups-in-act ...
Es gibt da wohl ein member-Attribut ... das nicth gesetzt ist.
Grüße
lcer
Es gibt da wohl ein member-Attribut ... das nicth gesetzt ist.
Grüße
lcer
Moin,
Interessant. Mit get-ADGroupMember geht es auch mit der primären Gruppe. Danke. Wieder was gelernt.
Liebe Grüße
Erik
Zitat von @149569:
.
Bei allen anderen Gruppen funktioniert das. Nur bei der nicht. Warum?
Weil "Domänen-Benutzer" die primäre Gruppe der User ist, deswegen taucht die bei Memberof auch nicht auf .Interessant. Mit get-ADGroupMember geht es auch mit der primären Gruppe. Danke. Wieder was gelernt.
Liebe Grüße
Erik
Wirklich spannend. Ich habe das jetzt mal getestet und bei htester die primäre Gruppe geändert:
Und schon geht's.
get-aduser htester -Properties memberof | select -ExpandProperty memerof
CN=g_special_logon,OU=global_groups,DC=acme,DC=de
CN=g_verwaltung,OU=global_groups,DC=acme,DC=de
CN=Domänen-Benutzer,CN=Users,DC=acme,DC=deUnd schon geht's.
Zitat von @erikro:
Wirklich spannend. Ich habe das jetzt mal getestet und bei htester die primäre Gruppe geändert:
Und schon geht's.
Wirklich spannend. Ich habe das jetzt mal getestet und bei htester die primäre Gruppe geändert:
> get-aduser htester -Properties memberof | select -ExpandProperty memerof
> CN=g_special_logon,OU=global_groups,DC=acme,DC=de
> CN=g_verwaltung,OU=global_groups,DC=acme,DC=de
> CN=Domänen-Benutzer,CN=Users,DC=acme,DC=de
> Und schon geht's.
Tipp: Get-ADPrincipalGroupMembership listet die PrimaryGroup für Accounts immer mit auf, dann braucht man die primäre nicht separat abfragen.
Zitat von @149569:
Tipp: Get-ADPrincipalGroupMembership listet die PrimaryGroup für Accounts immer mit auf, dann braucht man die primäre nicht separat abfragen.
Tipp: Get-ADPrincipalGroupMembership listet die PrimaryGroup für Accounts immer mit auf, dann braucht man die primäre nicht separat abfragen.
Eigentlich stört es mich gar nicht, dass Domänen-Benutzer nicht dabei ist. Da hat bei MS mal jemand richtig nachgedacht.
Meistens will man ja gar nicht wissen, dass der User da auch drin ist. Das weiß man ja sowieso.Zitat von @erikro:
Meistens will man ja gar nicht wissen, dass der User da auch drin ist. Das weiß man ja sowieso.
Ja "meistens" aber eben nicht immer. Wenn man z.B. in vielen AD Umgebungen unterwegs ist ist das ja nicht immer so. Kenne da einige bei denen das bspw. nicht so ist, in etwa bei Multi-Tenant Szenarios.Meistens will man ja gar nicht wissen, dass der User da auch drin ist. Das weiß man ja sowieso.
