User und AD Gruppe finden - wie das Pferd aufzäumen
Hi@All,
ich habe ein paar Registrywerte die abhängig von einer AD Gruppe in den User Hive geschrieben werden sollen.
Das INI File was mir vorliegt enthält als Abschnittsbezeichnung den Namen der AD Gruppe.
Als Wert ist der LDAP Pfad vorhanden der sich von AD Gruppe zu AD Gruppe unterscheidet.
Ablauf:
- Nutzer meldet sich an.
- Script liest den Nutzernamen
- mit der AD Gruppe ziehe ich dann den richtigen LDAP Pfad aus dem INI File und schreib das in den User Hive
Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Dazu kommt das zwingend PSv3 vorhanden sein muss?
Gruß
ich habe ein paar Registrywerte die abhängig von einer AD Gruppe in den User Hive geschrieben werden sollen.
Das INI File was mir vorliegt enthält als Abschnittsbezeichnung den Namen der AD Gruppe.
Als Wert ist der LDAP Pfad vorhanden der sich von AD Gruppe zu AD Gruppe unterscheidet.
Ablauf:
- Nutzer meldet sich an.
- Script liest den Nutzernamen
- hier holperts nun
- mit der AD Gruppe ziehe ich dann den richtigen LDAP Pfad aus dem INI File und schreib das in den User Hive
Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Dazu kommt das zwingend PSv3 vorhanden sein muss?
Gruß
Please also mark the comments that contributed to the solution of the article
Content-Key: 317434
Url: https://administrator.de/contentid/317434
Printed on: April 19, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hi.
Warum machst Du das nicht per GPP? Dort kannst Du das schnell automatisieren.
https://msdn.microsoft.com/en-us/library/cc733022%28v=ws.11%29.aspx
Warum machst Du das nicht per GPP? Dort kannst Du das schnell automatisieren.
https://msdn.microsoft.com/en-us/library/cc733022%28v=ws.11%29.aspx
Öhm, wieso ein Skript, wenn sich das doch mit GPP und ItemLevelTargetting viel einfacher realisieren lässt?!
Gruß R.
Wie bekomme ich mit dem Nutzernamen die AD Gruppe ermittelt in der der Nutzer ist?
Per LDAP das Nutzerobjekt holen und das Feld MemberOf auswerten.Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Ja, mit einem [adsisearcher] Objekt geht das auch ohne das die RSAT Tools installiert sein müssten.Gruß R.
Servus H41mSh1CoRr,
Die Gruppenmitgliedschaften des aktuellen Users in der aktuellen Domain kannst du so abfragen
Grüße Uwe
Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Selbstverständlich Die Gruppenmitgliedschaften des aktuellen Users in der aktuellen Domain kannst du so abfragen
(new-object adsisearcher("LDAP://$(([adsi]'LDAP://rootDSE').defaultNamingContext)","(&(objectCategory=User)(SamAccountName=$env:Username))","MemberOf",[System.DirectoryServices.SearchScope]::Subtree)).FindOne() | %{$_.Properties['memberof']}