h41msh1c0r
Oct 11, 2016
view1000
view5
0
Goto Top

User und AD Gruppe finden - wie das Pferd aufzäumen

GermansolvedQuestionBatch, ShellDevelopment
Hi@All,

ich habe ein paar Registrywerte die abhängig von einer AD Gruppe in den User Hive geschrieben werden sollen.
Das INI File was mir vorliegt enthält als Abschnittsbezeichnung den Namen der AD Gruppe.
Als Wert ist der LDAP Pfad vorhanden der sich von AD Gruppe zu AD Gruppe unterscheidet.

Ablauf:

- Nutzer meldet sich an.
- Script liest den Nutzernamen

  1. hier holperts nun
- Wie bekomme ich mit dem Nutzernamen die AD Gruppe ermittelt in der der Nutzer ist?

- mit der AD Gruppe ziehe ich dann den richtigen LDAP Pfad aus dem INI File und schreib das in den User Hive


Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?

Dazu kommt das zwingend PSv3 vorhanden sein muss?

Gruß
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 317434

Url: https://administrator.de/contentid/317434

Printed on: April 19, 2024 at 01:04 o'clock

5 Comments
Latest comment
Goto Top
Member: DerWoWusste
DerWoWusste Oct 11, 2016 at 09:14:06 (UTC)
Goto Top
Hi.

Warum machst Du das nicht per GPP? Dort kannst Du das schnell automatisieren.
https://msdn.microsoft.com/en-us/library/cc733022%28v=ws.11%29.aspx
Mitglied: 131026
Solution 131026 Oct 11, 2016 at 09:14:29 (UTC)
Goto Top
Öhm, wieso ein Skript, wenn sich das doch mit GPP und ItemLevelTargetting viel einfacher realisieren lässt?!
Wie bekomme ich mit dem Nutzernamen die AD Gruppe ermittelt in der der Nutzer ist?
Per LDAP das Nutzerobjekt holen und das Feld MemberOf auswerten.
Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Ja, mit einem [adsisearcher] Objekt geht das auch ohne das die RSAT Tools installiert sein müssten.

Gruß R.
Member: H41mSh1C0R
H41mSh1C0R Oct 11, 2016 updated at 09:33:31 (UTC)
Goto Top
Via GPP geht nicht, da die Anforderung vorhanden ist das über das Verteilssystem umzusetzen, leider.

Zitat von @131026:
Per LDAP das Nutzerobjekt holen und das Feld MemberOf auswerten.
Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Ja, mit einem [adsisearcher] Objekt geht das auch ohne das die RSAT Tools installiert sein müssten.

Danke.
Member: colinardo
Solution colinardo Oct 11, 2016 updated at 16:12:14 (UTC)
Goto Top
Servus H41mSh1CoRr,
Funktioniert das überhaupt ohne mit Get-ADGroupMember immer alle AD Gruppen zu durchlaufen?
Selbstverständlich face-smile
Die Gruppenmitgliedschaften des aktuellen Users in der aktuellen Domain kannst du so abfragen
(new-object adsisearcher("LDAP://$(([adsi]'LDAP://rootDSE').defaultNamingContext)","(&(objectCategory=User)(SamAccountName=$env:Username))","MemberOf",[System.DirectoryServices.SearchScope]::Subtree)).FindOne() | %{$_.Properties['memberof']}
Grüße Uwe
Member: H41mSh1C0R
H41mSh1C0R Oct 11, 2016 at 19:03:30 (UTC)
Goto Top
Hi Uwe,

was würden wir hier nur alle ohne dich machen. =)

Ich habe das zwischenzeitlich über ein Boardmittel des Verteilssystems gelöst.
Dort war in den Untiefen eine Funktion versteckt die Gruppen durchsuchen kann.

Musste zwar etwas Schleifengeraffel bauen, aber mit Rangers Hilfe(andere Frage) die Tags alle aus dem INI File gezogen und Schleife drum rum und voala. =)

Trotzdem Herzlichen Dank.

Aber jetzt ist Feierabend.

Gruß
GermansolvedQuestionBatch, ShellDevelopment
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment