18
PowerShell- ADuser - Domaincontroller schlussfolgern
Hi,
hat jemand ne Idee, wie man im PowerShell von einem ADUser-Objekt den Domaincontroller bekommt, über welchen dieses abgefragt oder erstellt wurde?
Also, z.B. mit
bekomme ich ein Objekt vom Typ Microsoft.ActiveDirectory.Management.ADUser
Für spätere Operationen mit diesem Objekt brauche ich den Domaincontroller.
liefert mir keine Eigenschaft, über welche ich auf den verwendeten DC schlussfolgern könnte.
E.
hat jemand ne Idee, wie man im PowerShell von einem ADUser-Objekt den Domaincontroller bekommt, über welchen dieses abgefragt oder erstellt wurde?
Also, z.B. mit
$User = Get-ADuser "Peter Müller" Für spätere Operationen mit diesem Objekt brauche ich den Domaincontroller.
$User | FL *E.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 460112
Url: https://administrator.de/forum/powershell-aduser-domaincontroller-schlussfolgern-460112.html
Ausgedruckt am: 31.03.2025 um 14:03 Uhr
18 Kommentare
Neuester Kommentar
Moin,
mEn hast du da keine Chance. der DC ist für das User Objekt vollkommen irrelevant. Die DCs einer Domain bekommst du mit Get-AdDomain oder Get-AdDomainController - falls dir das was hilft.
lg,
Slainte
/EDIT:
Das zeigt dir alle EIgenschaften die PS vom User Objekt kennt.
mEn hast du da keine Chance. der DC ist für das User Objekt vollkommen irrelevant. Die DCs einer Domain bekommst du mit Get-AdDomain oder Get-AdDomainController - falls dir das was hilft.
lg,
Slainte
/EDIT:
liefert mir keine Eigenschaft, über welche ich auf den verwendeten DC schlussfolgern könnte.
Versuchs mal mitGet-AdUser -Properties * | gm
Get-ADDomainController -Discover -NextClosestSite | select -First 1
Mitnichten! Wenn man nicht in die Falle mit der Replikationsverzögerung laufen will, dann muss man alle Operation ein einem Objekt über denselben DC erledigen.
Die DCs einer Domain bekommst du mit Get-AdDomain oder Get-AdDomainController - falls dir das was hilft.
Das ist mir klar. Ich brauche es jedoch "reverse". Nicht über den DC an das Objekt sondern über das Objekt an den DC.Zitat von @139920:
Get-ADDomainController -Discover | select -First 1
Das nütz mir doch nichts. Siehe meine Antwort zu @SlainteMhathGet-ADDomainController -Discover | select -First 1
Zitat von @emeriks:
Doch, Get-ADUser benutzt die selbe Methode zum ermitteln des DCs welchen er abfragt, s. Doku zu Get-ADUserZitat von @139920:
Get-ADDomainController -Discover | select -First 1
Das nütz mir doch nichts. Siehe meine Antwort zu @SlainteMhathGet-ADDomainController -Discover | select -First 1
https://activedirectoryfaq.com/2016/05/powershell-finding-the-next-close ...
hi emeriks,
anstatt später abzufragen über welchen Server die anfrage gestellt wurde gibt doch gleich bei der Anfrage -server an dann ist es klar. Falls du das noch automatisiert brauchst fragst halt alle DCs der Domain ab und wählst dir einen random.
Grüße
anstatt später abzufragen über welchen Server die anfrage gestellt wurde gibt doch gleich bei der Anfrage -server an dann ist es klar. Falls du das noch automatisiert brauchst fragst halt alle DCs der Domain ab und wählst dir einen random.
Grüße
Ihr versteht mich offenbar nicht.
Ich weiß, dass man beim Abfrage mit Get-ADUser oder Get-ADObject explizit einen DC benennen kann.
Was aber nützt mir das, wenn ich von einer anderen Quelle, welche ich nicht beeinflussen kann, nur solch ein ADUser-Objekt bekomme?
Ich weiß, dass man beim Abfrage mit Get-ADUser oder Get-ADObject explizit einen DC benennen kann.
Was aber nützt mir das, wenn ich von einer anderen Quelle, welche ich nicht beeinflussen kann, nur solch ein ADUser-Objekt bekomme?
Nur mit dem Objekt von Get-AdUser gar nicht! Das beinhaltet keinerlei Info von welchem DC die Daten abgefragt wurden. Wenn du also selbst die Abfrage von Get-Aduser nicht beeinflussen bzw. anderweitig die Abfrage selbst in die Hand nehmen kannst hast du Pech.
1
Es ist schon ziemlich abstrakt und schwammig geschrieben aber wenn ich dich richtig verstehe bekommst du ein Array (vielleicht aber auch einfach nur ein Textfile) mit ADuser-Objekten oder deren Namen und möchtest dich dann auf den DC verbinden der diese erstellt hat?
Ja, das wird er wohl gemeint haben. Er kann nicht beeinflussen, von wo die vorherigen Operationen durchgeführt wurden, will aber darauf aufbauend weiterarbeiten.
Also bei Exchange-Objekten kannst du mittelst Get-AdPermission -owner -identity <Username> ermitteln, welcher DC der Eigentümer ist. Da ich zuhause keine AD-Umgebung habe, kann ich nicht prüfen, ob das mit Get-ACL auch funktioniert. Ich weiß aber, dass der dort irgendein Eigentümer steht. Aber vielleicht hilft dir das ja schon etwas.
Viele Grüße
Toni
Also bei Exchange-Objekten kannst du mittelst Get-AdPermission -owner -identity <Username> ermitteln, welcher DC der Eigentümer ist. Da ich zuhause keine AD-Umgebung habe, kann ich nicht prüfen, ob das mit Get-ACL auch funktioniert. Ich weiß aber, dass der dort irgendein Eigentümer steht. Aber vielleicht hilft dir das ja schon etwas.
Viele Grüße
Toni
Nein, ist es nicht.
Nein, das meine ich nicht.
(vielleicht aber auch einfach nur ein Textfile)
Ein Textfile? Mit einem Objekt? Wie soll das gehen?Nein, das meine ich nicht.
Zitat von @Daemmerung:
Ja, das wird er wohl gemeint haben. Er kann nicht beeinflussen, von wo die vorherigen Operationen durchgeführt wurden, will aber darauf aufbauend weiterarbeiten.
Ja, daran ist doch auch nichts seltsames. Man muss ein Script bereitstellen, welches von einer Dritten Stelle verwendet wird, mit der Vorgabe, dass ein ADUser-Objekt übergeben wird. Oder CmdLet entwickeln, welchem nach Vorgabe nur ein ADUser-Objekt übergeben werden soll.Ja, das wird er wohl gemeint haben. Er kann nicht beeinflussen, von wo die vorherigen Operationen durchgeführt wurden, will aber darauf aufbauend weiterarbeiten.
Also bei Exchange-Objekten kannst du mittelst Get-AdPermission -owner -identity <Username> ermitteln, welcher DC der Eigentümer ist. Da ich zuhause keine AD-Umgebung habe, kann ich nicht prüfen, ob das mit Get-ACL auch funktioniert. Ich weiß aber, dass der dort irgendein Eigentümer steht. Aber vielleicht hilft dir das ja schon etwas.
Nein, nicht wirklich.Es geht nicht um den Besitzer.
Denkt größer! Ein großes AD mit vielen, vielen DC's und AD-Standorten. Selbst bei schnellster Replikation kann es Minuten dauern, bis der letzte DC eine Änderung mitbekommen hat.
Wenn man jetzt ein AD-Objekt erstellt oder ändert und dann in einem zweiten Schritt weitere Änderungen vornehmen will/muss, welche direkt auf die unmittelbar zuvor erfolgten Änderungen aufbauen sollen, dann kann man entweder eine Kunstpause einlegen, nach welcher man vermuten kann, dass mit hoher Wahrscheinlichkeit alle vorherigen Änderungen auf alle DC's repliziert wurden oder man arbeitet am besten gleich mit dem selben DC weiter, über welchen die vorherigen Änderungen erfolgt sind.
Ich habe jetzt selbst mal bisschen rumgeschaut. Get-ACL hilft hier tatsächlich nicht weiter. Spontan fällt nur die Möglichkeit ein, alle DCs nach dem User zu durchsuchen und einen passenden zu ermitteln. Sollte es sich um eine Änderung haneln, kann man zusätzlich das WhenChanged-Attribut vergleichen und dort den jüngsten Wert ermiteln.
Für diese Prozedur könntes du ein passendes CMdLet schreiben.
Eine andere Möglichkeit fällt mir da nun nicht mehr ein.
Für diese Prozedur könntes du ein passendes CMdLet schreiben.
Eine andere Möglichkeit fällt mir da nun nicht mehr ein.
Zitat von @Daemmerung:
kann man zusätzlich das WhenChanged-Attribut vergleichen und dort den jüngsten Wert ermiteln.
Würgarrounds habe ich schon selbst einige probiert. Diese funktionieren scheinbar auch. Bis zum nächsten Spezialfall ... kann man zusätzlich das WhenChanged-Attribut vergleichen und dort den jüngsten Wert ermiteln.
Meine Frage war aber ganz konkret nach dieser Ableitung des DC's aus dem ADUser-Objekt.
Also bei Exchange-Objekten kannst du mittelst Get-AdPermission -owner -identity <Username> ermitteln, welcher DC der Eigentümer ist. Da ich zuhause keine AD-Umgebung habe, kann ich nicht prüfen, ob das mit Get-ACL auch funktioniert. Ich weiß aber, dass der dort irgendein Eigentümer steht. Aber vielleicht hilft dir das ja schon etwas.
(vielleicht aber auch einfach nur ein Textfile)
Das Objekt an sich natürlich nicht aber einen eindeutigen Identifizierer, bei einem User wäre da sdie SIDEin Textfile? Mit einem Objekt? Wie soll das gehen?
Nein, das meine ich nicht.
Nein, das meine ich nicht.
Es gibt Lösungen, tauchen wir mal etwas tiefer ein:
Auch wenn uns das AD die Informationen so nicht zur Verfügung stellt weil es das so nicht speichert kommen wir an unser gewünschte Ziel. Alle DCs sind in einer Multimasterumgebung im AD und tauschen sich über USNs aus um die Replikation einzuleiten. Ein User im AD ist letztlich ein Objekt mit bestimmen Eigenschaften. Wenn sich bei einem User auch viel ändern kann, die 'objectClass' wird es nicht tun. Wenn wir das jetzt verknüpfen wissen wir, wer die ObjectClass definiert muss das Objekt angelegt haben. Wenn du in die Metadaten deiner Replikation nach deinem User schaust wirst du den DC finden der den User erstellt hat. Falls der DC nicht mehr existiert (wovon ich aber nach deiner Beschreibung nicht ausgehe) findest du natürlich nur noch die GUID.
repadmin /showobjmeta 'DC-Name' 'User-DN'
et voila
Zitat von @LeeX01:
Das Objekt an sich natürlich nicht aber einen eindeutigen Identifizierer, bei einem User wäre da sdie SID
Denkfehler.Das Objekt an sich natürlich nicht aber einen eindeutigen Identifizierer, bei einem User wäre da sdie SID
Ich rede nicht vom AD-Objekt sondern vom PowerShell-Objekt.
Zitat von @emeriks:
Ich rede nicht vom AD-Objekt sondern vom PowerShell-Objekt.
Zitat von @LeeX01:
Das Objekt an sich natürlich nicht aber einen eindeutigen Identifizierer, bei einem User wäre da sdie SID
Denkfehler.Das Objekt an sich natürlich nicht aber einen eindeutigen Identifizierer, bei einem User wäre da sdie SID
Ich rede nicht vom AD-Objekt sondern vom PowerShell-Objekt.
Wie du schon geschrieben hast bekommst du durch die Abfrage ein Objekt vom Typ Microsoft.ActiveDirectory.Management.ADUser, also ein AD Objekt. Dieses AD Objekt (in der Powershell) hat das Attribut (member) objectSid.
@LeeX01, lass es bitte gut sein. Es hilft hier nicht weiter. Danke trotzdem.
