Jump to content

Benutzer-Gruppen einsehen im Forest

ponchofiesta

Von ponchofiesta
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ponchofiesta Enthusiast

ponchofiesta   10

Geschrieben
Geschrieben

Hallo Leute,

 

wir sind neuerdings in einem Domain-Forest einer anderen Domain untergeordnet. Wir arbeiten mit unseren eigenen Gruppen. Die Benutzer kommen allerdings aus der übergeordneten Domain.

Nun haben wir das Problem, dass bei den Benutzern im "Active Directory-Benutzer und -Computer" unter "Mitglied von" nur die Gruppen seiner Domain stehen. Wir können diese Benutzer unseren Gruppen auch nur über unsere Gruppen hinzufügen. Über den Benutzer sind unsere Gruppen nicht verfügbar. Das ist einfach vom Arbeitsaufwand sehr umständlich. Und wir können eben auch nicht sehen, in welchen unserer Gruppen Benutzer XY ist.

 

Nun wollte ich ein simples Powershell-Script schreiben, was uns die Abfrage der Gruppen erleichtert und musste dabei feststellen, dass man dort problemlos alle Gruppen sieht - egal aus welcher Domain.

 

Beispiel:

$user = ([adsi]"LDAP://CN=$username,OU=$subfolder,OU=User,DC=domain,DC=de")
$user.memberOf

 

Da denke ich mir nun, dass man die Gruppen in "Active Directory-Benutzer und -Computer" doch sicherlich auch irgendwie angezeigt bekommen kann. Aber wie?

 

Zur Zusammenfassung:

Unsere Gruppen -> subdomain.domain.de

Die Benutzer -> domain.de

Unsere Gruppen werden bei den Benutzern unter "Mitglied von" nicht angezeigt.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

das liegt daran, dass ihr mit globalen oder domänenlokalen Gruppen arbeitet. Die sind nur in ihrer jeweiligen "Heimdomäne" sichtbar. Die Domäne, in der die Benutzer liegen, kann diese Gruppen nicht sehen. Diese Gruppenmitgliedschaften werden auch nur bei Zugriffen in eure Subdomäne wirksam.

 

Wenn es erwünscht ist, dass die Gruppenmitgliedschaften überall sichtbar und wirksam sind, müsstet ihr mit Universalgruppen arbeiten, welche im Global Catalog gespeichert sind. Das hat aber Folgen und ist mit der Zentraladministration abzustimmen.

 

Gruß, Nils

Link zu diesem Kommentar
ponchofiesta Enthusiast

ponchofiesta   10

Geschrieben
  • Autor
Geschrieben

Wirksam soll sie nur in unsrer Domain sein. Es sind auch universelle Gruppen aber eben nur bei uns. Ich wundere mich eben nur, weil die Powershell ja alle Gruppen ausspuckt. Es tauchen auch Gruppen von anderen Subdomains auf, mit denen wir nichts zu tun haben. Die MMC schmeißt da vermutlich absichtlich alle anderen raus, was IMO aber total unpraktisch ist. Kann man der MMC nicht irgendwie sagen, dass das nicht sein soll?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...