Domainenübergreifender Benutzer
Hallo zusammen,
Ich habe eine Domain mit mehreren Subdomains
test.de
a.test.de
b.test.de
c.test.de
Nun befindet sich Benutzer Hans in der Domain test.de. Dieser besitzt nur die Berechtigungen "Domain User".
Mit diesem Benutzer sollen Benutzer einer Gruppe rekursive ausgelesen werden. In dieser Gruppe befinden sich allerdings auch Benutzer der anderen Subdomains. Sprich ich kann mit Hans, diese Nutzer nicht auslesen (zumindest nicht über Powershell)
Nun benötige ich ein Konzept, in dem Hans z.B. einer Universellen oder localen Gruppe hinzugefügt wird und diese Gruppe zu den Domain Usern in jeder Subdomain hinzugefügt wird.
Allerdings können Globale Gruppen (wie z.B. die Domain User) keine lokalen oder universellen Gruppen aufnehmen.
Auch mit dem AGDLP Konzept komme ich irgendwie nicht ans Ziel da ich immer wieder bei der Aufnahme der Gruppen in die globale Gruppe scheitere.
Wie kann ich meinen Wunsch umsetzen, ohne in jeder Subdomain den gleichen Nutzer anlegen zu lassen?
Vielen Dank
Ich habe eine Domain mit mehreren Subdomains
test.de
a.test.de
b.test.de
c.test.de
Nun befindet sich Benutzer Hans in der Domain test.de. Dieser besitzt nur die Berechtigungen "Domain User".
Mit diesem Benutzer sollen Benutzer einer Gruppe rekursive ausgelesen werden. In dieser Gruppe befinden sich allerdings auch Benutzer der anderen Subdomains. Sprich ich kann mit Hans, diese Nutzer nicht auslesen (zumindest nicht über Powershell)
Nun benötige ich ein Konzept, in dem Hans z.B. einer Universellen oder localen Gruppe hinzugefügt wird und diese Gruppe zu den Domain Usern in jeder Subdomain hinzugefügt wird.
Allerdings können Globale Gruppen (wie z.B. die Domain User) keine lokalen oder universellen Gruppen aufnehmen.
Auch mit dem AGDLP Konzept komme ich irgendwie nicht ans Ziel da ich immer wieder bei der Aufnahme der Gruppen in die globale Gruppe scheitere.
Wie kann ich meinen Wunsch umsetzen, ohne in jeder Subdomain den gleichen Nutzer anlegen zu lassen?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285652
Url: https://administrator.de/forum/domainenuebergreifender-benutzer-285652.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
21 Kommentare
Neuester Kommentar
Moin,
das Skript bzw Befehl im Benutzerkontext eines privilegierten Nutzers ausführen welcher Domainübergreifend über entsprechende Enumeration-Rechte im AD verfügt, z.b die Enterprise-Admins.
Zur Info, einzelnen Befehlen lassen sich Credentials mitgeben ...
Gruß grexit
das Skript bzw Befehl im Benutzerkontext eines privilegierten Nutzers ausführen welcher Domainübergreifend über entsprechende Enumeration-Rechte im AD verfügt, z.b die Enterprise-Admins.
Zur Info, einzelnen Befehlen lassen sich Credentials mitgeben ...
Gruß grexit
Dann legst du dir halt deine eigene Gruppe an, machst den User dort Mitglied und erteilst der Gruppe nur die entsprechenden Rechte in allen Domains, feddich ...
Hi,
vollkommen falsch.
Sofern für die betreffende Gruppe diesem User oder einer seiner Gruppen nicht explitzit das Recht zum Lesen entzogen wurde, darf jeder Benutzer jede Gruppe in jeder Domäne des Forest auslesen, incl. der Gruppenmitglieder.
Da wir nicht wissen, wie Dein PS-Befehl/-Script aussieht, kann ich hier nur vermuten.
Wie sieht die Abfrage aus?
E.
vollkommen falsch.
Sofern für die betreffende Gruppe diesem User oder einer seiner Gruppen nicht explitzit das Recht zum Lesen entzogen wurde, darf jeder Benutzer jede Gruppe in jeder Domäne des Forest auslesen, incl. der Gruppenmitglieder.
Da wir nicht wissen, wie Dein PS-Befehl/-Script aussieht, kann ich hier nur vermuten.
Wie sieht die Abfrage aus?
E.
$securepass = gc "D:\Scripts\password\pwd.txt" | convertto-SecureString
$cred = New-Object PSCredential($AD_Domain_User, $securepass)
Ich weiß nicht ob du das weißt aber wenn du das Passwort welches du als SecureString in einer Textdatei gespeichert hast wiederverwenden willst muss das Skript auf dem selben Rechner und dem selben Useraccount aufgerufen werden womit das Passwort in die Textdatei erzeugt wurde!$cred = New-Object PSCredential($AD_Domain_User, $securepass)
AD Gruppenmitglieder via Powershell von anderem Server auslesen..
War das "gelöst" jetzt ein Versehen?
Sprich es werden unterschiedliche Benutzer und Passwörter für die jeweiligen Domains genutzt.
Kann man machen, aber wenn sie alle in einem Forest sind, dann braucht man das nicht. Ein Task, der unter Local System auf einem Member-Computer läuft, kann standardmäßig alle AD Objekte des gesamten Forest lesen.Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
Prima. Und warum schreibst Du das nicht gleich? Du hast bisher immer nur von "Subdomains" geschrieben ....Also, hast Du jetzt Probleme mit Domänen in anderen Strukturen oder mit Subdomänen einer Struktur oder ne Kombination davon?
Existieren Vertrauensstellungen zwischen den Strukturen oder zwischen einzelnen Domänen davon?
Nochmal: Nein!
Wenn da tatsächlich funktionale Vertrauensstellungen bestehen, dann kann jeder Benutzer und jeder Computer alle Objekte des AD lesen, auch in den vertrauten Domänen. Dafür brauche ich dann keine anderen Anmeldedaten.
Es kann aber auch sein, dass die Vertrauensstellungen nur eingeschränkt sind.
Wenn da tatsächlich funktionale Vertrauensstellungen bestehen, dann kann jeder Benutzer und jeder Computer alle Objekte des AD lesen, auch in den vertrauten Domänen. Dafür brauche ich dann keine anderen Anmeldedaten.
Es kann aber auch sein, dass die Vertrauensstellungen nur eingeschränkt sind.