svenpaush
Goto Top

Gruppenberechtigungen eines Benutzers in anderer Domäne anzeigen

Hallo, wir haben 2 Domänen die eine Vertrauensstellung haben.
Wenn ich nun ein Benutzer aus der AD1 in einer Sicherheitsgruppe in der AD2 hinzufüge, sehe ich in seinem Benutzerkonto nur die Gruppenzugehörigkeiten in der AD1 in der er auch angelegt wurde.

Was habe ich für Möglichkeiten auch die Gruppenzugehörigkeiten in der AD2 zu sehen?
Gibt es ein Tool was das kann oder geht es über ein PowerShell Script?

Ich habe danach gesucht wie es mit PS gehen soll, mir fehlt scheinbar der passende Begriff um ans Ziel zu kommen.

Content-ID: 72794180035

Url: https://administrator.de/forum/gruppenberechtigungen-eines-benutzers-in-anderer-domaene-anzeigen-72794180035.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

12168552861
12168552861 15.03.2024 aktualisiert um 11:25:09 Uhr
Goto Top
haben 2 Domänen die eine Vertrauensstellung haben.
Two-Way oder Oneway ? Gruppentyp?
Get-ADPrincipalGroupMembership -Identity "CN=Max Muster,DC=domainA,DC=de" -Server yyy.de -ResourceContextServer xxxx.de  
https://learn.microsoft.com/en-us/powershell/module/activedirectory/get- ...

If you want to search for local groups in another domain, use the ResourceContextServer parameter to specify the alternate server in the other domain.
svenpaush
svenpaush 15.03.2024 um 10:48:18 Uhr
Goto Top
Funktioniert leider auch nur mit Benutzern die in der jeweiligen Domäne.
Ich habe es auch auf beiden DCs direkt getestet.
Bei Identity kann ich auch nur den Benutzernamen angeben. auf @... bekomme ich nur Fehlermeldungen.
In dem Link vn dir sehe ich auch nur Beispiele von z.b. administrator als Identity angegeben wurde.
12168552861
12168552861 15.03.2024 aktualisiert um 11:02:18 Uhr
Goto Top
Von Fragen beantworten hälst du wohl nix ...dann beantworte ich auch keine mehr. Frridaag
🖖🐟
svenpaush
svenpaush 15.03.2024 um 11:17:00 Uhr
Goto Top
Doch nur kann ich mit Two-Way und Oneway nichts anfangen. Bei Backups schon eher aber nicht für diesen Anwendungsfall.
Der Gruppentyp nennt sich Sicherheitsgruppe - Lokal (in Domäne)
Dieser Typ ist soweit ich weiß der einzige in der ich die andere Domäne auswähen kann um Benutzer hinzuzufügen.
12168552861
12168552861 15.03.2024 um 11:18:54 Uhr
Goto Top
Zitat von @svenpaush:

Doch nur kann ich mit Two-Way und Oneway nichts anfangen.
Dann solltest du dich erst mal belesen, ist nämlich essentiell ...
https://www.msxfaq.de/windows/domaintrust.htm
svenpaush
svenpaush 15.03.2024 um 11:22:02 Uhr
Goto Top
Ok verstanden. Die beiden Domänen sind gleichberechtigt.
Also Two Way. Wusste nicht das es so heißt.
12168552861
12168552861 15.03.2024 aktualisiert um 11:24:47 Uhr
Goto Top
S. Ergänzung ganz oben.
svenpaush
svenpaush 15.03.2024 aktualisiert um 11:52:43 Uhr
Goto Top
Leider auch nicht besser.
Der testuser der DomainA ist in DomainB in einer Gruppe.

ps> get-ADPrincipalGroupMembership -Identity "CN=testuser,DC=domainA,DC=local" -Server dc.domainB.de -ResourceContextServer dc.domainB.de  
Get-ADPrincipalGroupMembership : Unter "DC=domainB,DC=de" kann kein Objekt mit der ID  
"CN=testuser,DC=domainA,DC=local" gefunden werden.  
In Zeile:1 Zeichen:1
+ Get-ADPrincipalGroupMembership -Identity "CN=testuser,DC=domainA,DC=l ...  
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (CN=testuser,DC=domainA,DC=local:ADPrincipal) [Get-ADPrincipalGroupMembe
   rship], ADIdentityNotFoundException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,M
   icrosoft.ActiveDirectory.Management.Commands.GetADPrincipalGroupMembership
12168552861
12168552861 15.03.2024 aktualisiert um 11:56:24 Uhr
Goto Top
"CN=testuser,DC=domainA,DC=local"
*Kopfschüttel*, das hast du jetzt nicht wirklich so eingetragen face-big-smile 😂??. Gib das mal jemanden der sein Handwerk versteht und der weiß was der DistinguishedName eines Users ist. ...
Nee nee nee
svenpaush
svenpaush 15.03.2024 um 12:00:43 Uhr
Goto Top
Natürlich habe ich bei DC=domainA... etwas anderes stehen oder was meinst du?
12168552861
12168552861 15.03.2024 aktualisiert um 12:02:45 Uhr
Goto Top
Zitat von @svenpaush:

Natürlich habe ich bei DC=domainA... etwas anderes stehen oder was meinst du?

Nee an dem Ort kann der User niemals liegen ... da muss schon noch ne OU oder Container dazwischen, lass es dir doch einfach anzeigen wenn du das Konzept nicht verstehst.
(Get-ADUser MaxMuster).DistinguishedName
OMG.
svenpaush
svenpaush 15.03.2024 um 12:06:47 Uhr
Goto Top
Ja das gleiche Wie aus dem Atrribut Editor aber egal ich habe es dann noch einmal versucht und wieder die Ferhlermeldung bekommen ^^.
12168552861
Lösung 12168552861 15.03.2024 aktualisiert um 17:50:13 Uhr
Goto Top

back-to-topPer GUI in der MMC von AD2


Doppelklick auf den User im Container ForeignSecurityPrincipals

screenshot

Mitgliedschaften des User anzeigen lassen

screenshot

back-to-topPer Powershell


# abzufragender Username
$username = 'MaxMuster'  
# DistinguishedName von AD2 
$remotedn = 'DC=otherdomain,DC=internal'  
[adsisearcher]::new("LDAP://$remotedn","(&(objectClass=group)(member=CN=$((Get-ADUser $username).SID),CN=ForeignSecurityPrincipals,$remotedn))",'cn','Subtree').FindAll() | %{$_.Properties['cn'][0]}  

oder so gehts auch

# abzufragender Username
$username = 'MaxMuster'    
# FQDN des DC von AD2
$otherdc = 'dc.otherdomain.internal'  
# DistinguishedName von AD2
$remotedn = 'DC=otherdomain,DC=internal'  
Get-ADObject -Server $otherdc -LDAPFilter "(&(objectClass=group)(member=CN=$((Get-ADUser $username).SID),CN=ForeignSecurityPrincipals,$remotedn))"  

All tested. Done.
svenpaush
svenpaush 18.03.2024, aktualisiert am 19.03.2024 um 13:33:19 Uhr
Goto Top
Guten Morgen, vielen Dank für deine Hilfe. Beide Powershell Scripte funktionieren.
Diesen anderen Weg über die Gui habe ich noch nicht ausprobiert. Werde ich wohl auch nicht weil viel zu unmständlich und Fehleranfällig die uuid rauszusuchen etc.
Mit der Powershell geht es einfach viel viel schneller.

/Nachtrag

Über die Gui gibt es den Anzeigenamen, hatte ich übersehen. Darüber ist es natürlich wieder Benutzerfreundlicher.
In der Ansicht muss dafür Erweiterte Features angehakt sein um die OU ForeignSecurityPrincipals zu sehen.