16
Set AD User UPN Suffix
Hallo mein Name ist Dias, ich bin ziemlich neu in der Powershell Thematik und ziemlich neu hier im Forum.
Ich komme eher aus der Linux Ecke und habe mir erhofft das Ihr mir hier weiterhelfen könnt.
Ich würde gerne einen UPN Suffix hinzufügen und diesem erstmal nur dem Dom Admin zuweisen.
Dabei ist mir aufgefallen das der Benutzerprinzipalname ebenfalls leer war.
Das hier habe ich bis jetzt gefunden. UPN Suffix konnte hinzugefügt werden, Benutzerprinzipalname ebenfalls. Leider wird der UPN Suffix nicht hinzugefügt.
Get-ADForest | Set-ADForest -UPNSuffixes @{add="p"}
Set-ADUser -Identity Administrator -UserPrincipalName "administrator"
Also mit welchem Befehl weise ich dem Administrator den neuen UPN-Suffix zu? Ich würde daraus hinterher gerne ein Skript machen.
Ich danke euch schonmal für eure Hilfe.
Ich komme eher aus der Linux Ecke und habe mir erhofft das Ihr mir hier weiterhelfen könnt.
Ich würde gerne einen UPN Suffix hinzufügen und diesem erstmal nur dem Dom Admin zuweisen.
Dabei ist mir aufgefallen das der Benutzerprinzipalname ebenfalls leer war.
Das hier habe ich bis jetzt gefunden. UPN Suffix konnte hinzugefügt werden, Benutzerprinzipalname ebenfalls. Leider wird der UPN Suffix nicht hinzugefügt.
Get-ADForest | Set-ADForest -UPNSuffixes @{add="p"}
Set-ADUser -Identity Administrator -UserPrincipalName "administrator"
Also mit welchem Befehl weise ich dem Administrator den neuen UPN-Suffix zu? Ich würde daraus hinterher gerne ein Skript machen.
Ich danke euch schonmal für eure Hilfe.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1082873873
Url: https://administrator.de/forum/set-ad-user-upn-suffix-1082873873.html
Ausgedruckt am: 22.04.2025 um 02:04 Uhr
16 Kommentare
Neuester Kommentar
Moin Dias,
Normalerweise nimmt man das für bspw. @firma.net und @firma.com
Hier gibt es eine bebildertes Beispiel: https://www.windowspro.de/roland-eich/benutzerprinzipalname-upn-active-d ...
Vielleicht solltest Du erstmal beschreiben, was Du genau erreichen willst.
Gruß
cykes
Zitat von @diasel99:
Das hier habe ich bis jetzt gefunden. UPN Suffix konnte hinzugefügt werden, Benutzerprinzipalname ebenfalls. Leider wird der UPN Suffix nicht hinzugefügt.
[...]
Also mit welchem Befehl weise ich dem Administrator den neuen UPN-Suffix zu? Ich würde daraus hinterher gerne ein Skript machen.
In Deinem Screenshot steht doch der UPN-Suffix @p - wobei man natürlich über den Sinn streiten kann, einen Suffix 'p' hinzuzufügen. Was genau ist da nicht nach Deiner Erwartung?Das hier habe ich bis jetzt gefunden. UPN Suffix konnte hinzugefügt werden, Benutzerprinzipalname ebenfalls. Leider wird der UPN Suffix nicht hinzugefügt.
[...]
Also mit welchem Befehl weise ich dem Administrator den neuen UPN-Suffix zu? Ich würde daraus hinterher gerne ein Skript machen.
Normalerweise nimmt man das für bspw. @firma.net und @firma.com
Hier gibt es eine bebildertes Beispiel: https://www.windowspro.de/roland-eich/benutzerprinzipalname-upn-active-d ...
Vielleicht solltest Du erstmal beschreiben, was Du genau erreichen willst.
Gruß
cykes
Ich administriere 89 Schulen und habe nicht jedes Mal Lust, den kompletten Domain Suffix vor den Administrator zu schreiben. Es gibt auch noch einen lokalen Administrator der nicht umbenannt werden darf. Mit der Abkürzung Administrator@p erspare ich mir viel tipparbeit 
So die Idee dahinter.
So die Idee dahinter.
Leider wird der UPN Suffix nicht hinzugefügt.
Set-ADUser -Identity Administrator -UserPrincipalName "administrator"
Tja, warum setzt du dann den UPN nicht richtig mit TLD?Set-ADUser -Identity Administrator -UserPrincipalName "administrator"
Set-ADUser -Identity Administrator -UserPrincipalName "administrator@p" 
1
Als kleine Ergänzung. Mir geht es darum das „p“ als Upnsuffix dem Administrator per Powershell zugeteilt wird. Klar kann ich das händisch auswählen, aber ich würde das gerne automatisieren. Also mit welchem Befehl weise ich dem Administrator in der AD den Suffix „p“ zu?
Dankeschön, das teste ich sofort wenn ich zuhause bin?
Dankeschön, das teste ich sofort wenn ich zuhause bin?
Zitat von @149062:
Kaffee rüber schieb ...
Leider wird der UPN Suffix nicht hinzugefügt.
Set-ADUser -Identity Administrator -UserPrincipalName "administrator"
Tja, warum setzt du dann den UPN nicht richtig mit TLD?Set-ADUser -Identity Administrator -UserPrincipalName "administrator"
> Set-ADUser -Identity Administrator -UserPrincipalName "administrator@p"
> Dat jeht problemlos ..., my daily bread sozusagen ...
1
Moin,
mal fernab deines Problems:
Ich würde nicht mit dem Benutzer administrator in den Schulen arbeiten.
Dieser Benutzer kommt ein langes, sicheres Kennwort, welches "weggeschlossen" gehört: Einmal in euren Safe und einmal in den der Schule.
Lege dir einen weiteren User an, der entsprechende Rechte hat.
Heist eure Bude z.B. Schul-IT, würde ich jeweils einen Admin anlegen alá admin_SIT.
Als Präfix obendrein noch einen Schulbezug herstellen.
Meistens haben die Schulen, ähnlich wie in Firmen, ein Drei-Buchstaben-Kürzel.
Ein Geschwister-Scholl-Gymnasium in Berlin könnte so z.B. GSB haben. Somit sollte der Präfix ggf. GSB.brd lauten.
In Summe wäre der Login dann admin_sit@gsb.brd und an der ALbert-Schweizer-Schule in München admin_sit@asm.brd
Gruß
em-pie
mal fernab deines Problems:
Ich würde nicht mit dem Benutzer administrator in den Schulen arbeiten.
Dieser Benutzer kommt ein langes, sicheres Kennwort, welches "weggeschlossen" gehört: Einmal in euren Safe und einmal in den der Schule.
Lege dir einen weiteren User an, der entsprechende Rechte hat.
Heist eure Bude z.B. Schul-IT, würde ich jeweils einen Admin anlegen alá admin_SIT.
Als Präfix obendrein noch einen Schulbezug herstellen.
Meistens haben die Schulen, ähnlich wie in Firmen, ein Drei-Buchstaben-Kürzel.
Ein Geschwister-Scholl-Gymnasium in Berlin könnte so z.B. GSB haben. Somit sollte der Präfix ggf. GSB.brd lauten.
In Summe wäre der Login dann admin_sit@gsb.brd und an der ALbert-Schweizer-Schule in München admin_sit@asm.brd
Gruß
em-pie
Zitat von @diasel99:
Ich administriere 89 Schulen und habe nicht jedes Mal Lust, den kompletten Domain Suffix vor den Administrator zu schreiben.
Eine Suffix sollte man auch nie vor einen User schreiben Ich administriere 89 Schulen und habe nicht jedes Mal Lust, den kompletten Domain Suffix vor den Administrator zu schreiben.
Administrierst Du die 89 Standorte ausschließlich vor Ort oder ggf. auch mal remote? Sind die Schulen auf einem zentralen AD zusammengefasst oder laufen die alle autark?Es gibt auch noch einen lokalen Administrator der nicht umbenannt werden darf. Mit der Abkürzung Administrator@p erspare ich mir viel tipparbeit
Also zuallererst sollte man den built in Administrator einschränken/deaktivieren und halbwegs personalisierte Accounts verwenden.Das macht das Nachvollziehen wer was gemacht hat einfacher und erspart einem Diskussionen.
Dann kannst Du immer noch, um bei Deinem Besipiel zu bleiben, adm_dias@p verwenden, aber wenn Du das 'p' so einfügst, gilt das natürlich für alle User in dem AD.
Im Grunde hast du recht. Aber an den Usern kann ich nichts ändern. Das Image für die Schulen wurde im Vorfeld ausgerollt, unzählige Skripte verweisen auf den Administrator. Hinzu kommt, das sobald ich etwas ändere, ich nicht mehr synchron nach Vorgaben arbeite und wir dann keine einheitliche Lösung haben. Somit können wir nicht mehr mit Software Updates für die Schulen versorgt werden usw.
Das einzig gute, in so einer Pädagogischen Schulumgebung ist, das es bei uns auch nichts wirklich zu holen gibt. Es gibt keine Personenbezogenen Daten, keine Passwörter und keine Dateiablage. Alles wird nach dem abmelden gelöscht.
Das einzig gute, in so einer Pädagogischen Schulumgebung ist, das es bei uns auch nichts wirklich zu holen gibt. Es gibt keine Personenbezogenen Daten, keine Passwörter und keine Dateiablage. Alles wird nach dem abmelden gelöscht.
Zitat von @em-pie:
Moin,
mal fernab deines Problems:
Ich würde nicht mit dem Benutzer administrator in den Schulen arbeiten.
Dieser Benutzer kommt ein langes, sicheres Kennwort, welches "weggeschlossen" gehört: Einmal in euren Safe und einmal in den der Schule.
Lege dir einen weiteren User an, der entsprechende Rechte hat.
Heist eure Bude z.B. Schul-IT, würde ich jeweils einen Admin anlegen alá admin_SIT.
Als Präfix obendrein noch einen Schulbezug herstellen.
Meistens haben die Schulen, ähnlich wie in Firmen, ein Drei-Buchstaben-Kürzel.
Ein Geschwister-Scholl-Gymnasium in Berlin könnte so z.B. GSB haben. Somit sollte der Präfix ggf. GSB.brd lauten.
In Summe wäre der Login dann admin_sit@gsb.brd und an der ALbert-Schweizer-Schule in München admin_sit@asm.brd
Gruß
em-pie
Moin,
mal fernab deines Problems:
Ich würde nicht mit dem Benutzer administrator in den Schulen arbeiten.
Dieser Benutzer kommt ein langes, sicheres Kennwort, welches "weggeschlossen" gehört: Einmal in euren Safe und einmal in den der Schule.
Lege dir einen weiteren User an, der entsprechende Rechte hat.
Heist eure Bude z.B. Schul-IT, würde ich jeweils einen Admin anlegen alá admin_SIT.
Als Präfix obendrein noch einen Schulbezug herstellen.
Meistens haben die Schulen, ähnlich wie in Firmen, ein Drei-Buchstaben-Kürzel.
Ein Geschwister-Scholl-Gymnasium in Berlin könnte so z.B. GSB haben. Somit sollte der Präfix ggf. GSB.brd lauten.
In Summe wäre der Login dann admin_sit@gsb.brd und an der ALbert-Schweizer-Schule in München admin_sit@asm.brd
Gruß
em-pie
Zitat von @149062:
Dat jeht problemlos ..., my daily bread sozusagen ...
Dat jeht problemlos ..., my daily bread sozusagen ...
Recht hat er. Danke @149062. Das war die Lösung.
Zitat von @diasel99:
Im Grunde hast du recht. Aber an den Usern kann ich nichts ändern. Das Image für die Schulen wurde im Vorfeld ausgerollt, unzählige Skripte verweisen auf den Administrator. Hinzu kommt, das sobald ich etwas ändere, ich nicht mehr synchron nach Vorgaben arbeite und wir dann keine einheitliche Lösung haben. Somit können wir nicht mehr mit Software Updates für die Schulen versorgt werden usw.
Das einzig gute, in so einer Pädagogischen Schulumgebung ist, das es bei uns auch nichts wirklich zu holen gibt. Es gibt keine Personenbezogenen Daten, keine Passwörter und keine Dateiablage. Alles wird nach dem abmelden gelöscht.
D.h. die ganzen Lehrer/ Schüler drucken alles aus, weil nach dem Abmelden keinerlei Daten mehr auf allen, am AD angebundenen Systemen existieren?Im Grunde hast du recht. Aber an den Usern kann ich nichts ändern. Das Image für die Schulen wurde im Vorfeld ausgerollt, unzählige Skripte verweisen auf den Administrator. Hinzu kommt, das sobald ich etwas ändere, ich nicht mehr synchron nach Vorgaben arbeite und wir dann keine einheitliche Lösung haben. Somit können wir nicht mehr mit Software Updates für die Schulen versorgt werden usw.
Das einzig gute, in so einer Pädagogischen Schulumgebung ist, das es bei uns auch nichts wirklich zu holen gibt. Es gibt keine Personenbezogenen Daten, keine Passwörter und keine Dateiablage. Alles wird nach dem abmelden gelöscht.
Wo/ wie werden Zeugnisse erstellt und gespeichert?
Wie wird die Laufbahn eines/ aller Schüler definiert?
Bedenke: sobald jemand Zugriff auf den Administrator hat, hat er Hoheit über alle Daten...
Und wenn ich mir jetzt noch den oberen Absatz hinzuziehe:
Ihr habt ein Image für alle Schulen erstellt. Daraus schließe ich, dass es 89 Administratoren mit exakt den selben Kennwörtern gibt.
Wenn jetzt ein pöhser Pursche auch nur einmal das Kennwort kennt, so kommt er in 88 weitere Schulsysteme!?
Verstehe das bitte nicht falsch bzw. als Angriff, aber ihr, als Organisation/ Unternehmen, müsst, wenn das so zutrifft, dringend eure Sicherheitsstrategie überdenken. Sowohl in eurem, als auch im Interesse der Schulen und SuS.
Das Image für die Schulen wurde im Vorfeld ausgerollt, unzählige Skripte verweisen auf den Administrator
Ist kein Grund, dass man es zug um Zug ändert.Nehmt euch systematisch Schule für Schule vor und los geht es.
Das unzählige dürfte ja irgendwo dokumentiert sein.
Schlimmstenfalls baut ihr euch eine fiktive Schule im Lab auf, ändert das PW des Administrators und schaut, wo es knallt...
1
Ich weiß deinen Rat zu schätzen, aber natürlich hat jede Schule eigene Zugangsdaten. Wir sind auch nur die kleinen Administratoren des Schulträgers. Die bereitgestellte Lösung ist eine Landeslösung für das ganze Bundesland. Das Roh-Image wird mit allen pädagogisch sinnvollen Anwendungen zur Verfügung gestellt. Die Personalisierung findet aber dann durch uns für jede Schule Separat statt.
Du musst das So sehen:
1.)
Eine Schule besteht aus dem pädagogischen Teil (Reiner Unterricht und keine Personenbezogenen Daten) Das ist so vom Kultusministerium vorgeschrieben, nur die wenigsten Schulen halten sich daran. Wir schon.
2.) Verwaltungsteil hier werden Personenbezogene Daten erhoben. Dieser Teil ist weder im selben Netzwerk noch auf dem selben physischen Server
3.) Lehrernetz. Dieses Netz ist einer eigenen Netzwerkschnittstelle zugewiesen und hat Zugriff auf freigegebene Ressourcen des Verwaltungsnetzes. Aber keinen Zugriff in das Pädagogische Netz. Es ist quasi ein Lehrerverwaltungsnetz um Zeugnisse z.B. zu schreiben.
Schüler und Lehrer speichern Hausaufgaben in der Nextcloud, die auch nicht mit Klarnamen betrieben werden darf.
Du musst das So sehen:
1.)
Eine Schule besteht aus dem pädagogischen Teil (Reiner Unterricht und keine Personenbezogenen Daten) Das ist so vom Kultusministerium vorgeschrieben, nur die wenigsten Schulen halten sich daran. Wir schon.
2.) Verwaltungsteil hier werden Personenbezogene Daten erhoben. Dieser Teil ist weder im selben Netzwerk noch auf dem selben physischen Server
3.) Lehrernetz. Dieses Netz ist einer eigenen Netzwerkschnittstelle zugewiesen und hat Zugriff auf freigegebene Ressourcen des Verwaltungsnetzes. Aber keinen Zugriff in das Pädagogische Netz. Es ist quasi ein Lehrerverwaltungsnetz um Zeugnisse z.B. zu schreiben.
Schüler und Lehrer speichern Hausaufgaben in der Nextcloud, die auch nicht mit Klarnamen betrieben werden darf.
Ich hätte da noch eine Frage an euch Powershell Profis.
Ich danke euch allen nochmal für eure Antworten. Ihr wart mir echt eine große Hilfe. Die Befehle machen jetzt das was Sie tun sollen. Jetzt bin ich gerade dabei ein Powershell Skript daraus zu basteln. Beim ersten Start kommt eine Abfrage, wie im Anhang zu sehen. Kann ich das irgendwie so schreiben, das es im Hintergrund durchläuft und alle Abfragen automatisch bestätigt?
Ich danke euch allen nochmal für eure Antworten. Ihr wart mir echt eine große Hilfe. Die Befehle machen jetzt das was Sie tun sollen. Jetzt bin ich gerade dabei ein Powershell Skript daraus zu basteln. Beim ersten Start kommt eine Abfrage, wie im Anhang zu sehen. Kann ich das irgendwie so schreiben, das es im Hintergrund durchläuft und alle Abfragen automatisch bestätigt?
OK, danke deiner Ergänzung.
Ist zwar nach wie vor nicht ganz best practice, aber nun gut...
Zu deiner zweiten Frage.
Starte dein Script einfach so
Hinweis: wenn jemand den Inhalt der runme.ps1 ersetzt, kann da auch Mist mit angestellt werden.
Ideallösung: Script durch euch signieren: https://adamtheautomator.com/how-to-sign-powershell-script/
Ist zwar nach wie vor nicht ganz best practice, aber nun gut...
Zu deiner zweiten Frage.
Starte dein Script einfach so
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1Ideallösung: Script durch euch signieren: https://adamtheautomator.com/how-to-sign-powershell-script/
1
Dankeschön.
Es tut jetzt so wie es sollte.
Es tut jetzt so wie es sollte.
Zitat von @em-pie:
OK, danke deiner Ergänzung.
Ist zwar nach wie vor nicht ganz best practice, aber nun gut...
Zu deiner zweiten Frage.
Starte dein Script einfach so
Hinweis: wenn jemand den Inhalt der runme.ps1 ersetzt, kann da auch Mist mit angestellt werden.
Ideallösung: Script durch euch signieren: https://adamtheautomator.com/how-to-sign-powershell-script/
OK, danke deiner Ergänzung.
Ist zwar nach wie vor nicht ganz best practice, aber nun gut...
Zu deiner zweiten Frage.
Starte dein Script einfach so
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1Ideallösung: Script durch euch signieren: https://adamtheautomator.com/how-to-sign-powershell-script/
