morphium 10 Geschrieben 23. August 2012 Melden Teilen Geschrieben 23. August 2012 (bearbeitet) Hallo, wir verwalten die Zugriffsrechte eines Intranetauftritt mit AD Gruppen. Ist ein User Contentmanager, darf also einen bestimmten Teilbereich bearbeiten, ist dieser Mitglied der Gruppen gl_content_abteilung und gl_contentmanager. Jetzt gibt es leider einige Contentmanager, die nicht in der gl_contentmanger drin sind. Jetzt möchte ich eine AD-Abfrage starten, die folgendes erfüllt: Suche alle Nutzer die Mitglied einer Gruppe gl_content_* und gleichzeitig Nichtmitglied der Gruppe gl_contentmanager sind. Habe mich schon auf Yusufs AD-Abfrage-Site rumgetrieben, bin aber noch nicht fündig geworden. Danke und Gruß /edit Mein bisheriger Fortschritt: (&(objectCategory=user)(memberOf=CN=gl_content_abteilung,OU=Groups,DC=domaene,DC=de)(!memberOf=CN=gl_contentmanager,OU=Groups,DC=domaene,DC=de)) bearbeitet 23. August 2012 von morphium Zitieren Link zu diesem Kommentar
NilsK 2.963 Geschrieben 23. August 2012 Melden Teilen Geschrieben 23. August 2012 (bearbeitet) Moin, also, dein Ziel ist, die User zu finden, die nicht in der Gruppe sind, um sie dann der Gruppe hinzuzufügen? Oder soll es eine dauerhafte Angelegenheit sein? Ich habe das mal mit meinem SQL-Abfragetool Carmen nachgestellt, dort funktioniert offenbar diese Abfrage: SELECT name,memberOf FROM 'LDAP://DC=firma,DC=biz' WHERE memberOf='CN=Vertrieb,OU=Organisation,OU=Gruppen,DC=firma,DC=biz' and memberOf<>'CN=Technik,OU=Organisation,OU=Gruppen,DC=firma,DC=biz' faq-o-matic.net » Carmen: Mit SQL das AD abfragen Das sollte auch per LDAP gehen - vielleicht liegt dein Fehler einfach im falschen LDAP-String, denn der Container "Groups" ist bei euch doch sicher eine OU (also OU=) und kein Ordner (CN=), oder? Gruß, Nils bearbeitet 23. August 2012 von NilsK Korrektur, Ergänzung Zitieren Link zu diesem Kommentar
morphium 10 Geschrieben 23. August 2012 Autor Melden Teilen Geschrieben 23. August 2012 Hallo Nils, danke für Deine Antwort. Ja, ich möchte wissen welcher Contentmanager sich nicht in der gl_contentmanager befindet, gleichzeitig aber Mitglied einer Bereichs-Contentmanagergruppe (gl_content_abteilung) ist. Werde es mal mit Carmen testen und melde mich dann wieder. Gruß Zitieren Link zu diesem Kommentar
samsam 14 Geschrieben 23. August 2012 Melden Teilen Geschrieben 23. August 2012 Moin, du kannst AD-PowerShell benutzen. Beispiel: Compare-Object ( Get-ADGroupMember Group1) ( Get-ADGroupMember Group2) -IncludeEqual Dann in SideIndicator kannst du sehen welche Benutzer ist in beide Group oder welche muss in andere Group Add werden. Note: Ohne -IncludeEqual , zeig nicht das Benutzer in beide Groups. MFG Zitieren Link zu diesem Kommentar
morphium 10 Geschrieben 23. August 2012 Autor Melden Teilen Geschrieben 23. August 2012 Habe mich gerade noch einmal mit der Abfrage beschäftigt und komme langsam voran. Leider kann ich den Gruppennamen nicht mit einer Wildcard bestücken. Was funktioniert (&(objectCategory=person)(objectClass=user)(name=*)(memberOf=CN=gl_content_abteilungxy,OU=Groups,DC=domaene,DC=de)(!memberOf=CN=gl_contentmanager,OU=Groups,DC=domaene,DC=de)) Was nicht funktioniert (&(objectCategory=person)(objectClass=user)(name=*)(memberOf=CN=gl_content_abteilung*,OU=Groups,DC=domaene,DC=de)(!memberOf=CN=gl_contentmanager,OU=Groups,DC=domaene,DC=de)) Zitieren Link zu diesem Kommentar
NilsK 2.963 Geschrieben 23. August 2012 Melden Teilen Geschrieben 23. August 2012 Moin, nein, das geht nicht. Das würde ich pragmatisch anders lösen - z.B. den Filter in einem Batch mehrfach kopieren und anpassen und die Ergebnisse per csvde oder so in eine Datei schreiben. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.