user gruppenmitgliedschaften übertragen

[highvoltadmin 0]

Hallo zusammen,

 

ich bekomme von der Mutterfirma einen neuen user1 angelegt, der dann nur Mitglied von Domain Users ist. Ein Standarduser in unserer Subdomain hat aber mindestens 10 Gruppenmitgliedschaften. Ich habe dafür einen Dummy-User angelegt, von dem ich eine Kopie anlege und dann den user1 lösche. Das ist aber eher ungünstig, weil ich gern die SID vom user1 erhalten will.

 

Deshalb suche ich einen Power Shell-Befehl, mit dem ich die Gruppenmitgliedschaften vom Dummy-User auf user1 übertragen kann.

[testperson 1.677]

Hi,

 

so ganz verstehe ich die Gesamtsituation nicht, aber teste mal:

foreach ($Gruppe in Get-ADUser Dummy-User -Properties MemberOf | Select MemberOf -ExpandProperty MemberOf) { Add-ADGroupMember $Gruppe user1 }

Gruß

Jan

[lefg 276]

Min moin und Willkommen am Board :)

 

Ich meine, mit der beschriebenen Vorgehensweise bist Du auf dem falschen Weg.

 

Der User(Benutzerkonto) ist den gewünschten Sicherheitsgruppen hinzuzufügen.

bearbeitet 2. September 2016 von lefg

[NilsK 2.934]

Moin,

 

Der User(Benutzerkonto) ist den gewünschten Sicherheitsgruppen hinzuzufügen.

 

genau das hat er ja vor. Er möchte die Gruppen, die seinem Standard-User (quasi als Vorlage) zugewiesen sind, auch dem neuen User zuweisen. Ein durchaus übliches Vorhaben. Solange kein Identity Management im Spiel ist, kann man das auch so machen.

 

Jans Kommandozeile sollte das auch erreichen.

 

Gruß, Nils

[testperson 1.677]

Nachdem ich die Frage jetzt ein paar mal gelesen habe: Wäre es hier nicht organisatorisch am einfachsten, "Mutter-Admin" oder "Tochter-Admin" legen den User gleich richtig an? Anstatt sich hier gegenseitig zu beschäftigen?

[highvoltadmin 0]

Danke bis jetzt für die Antworten, probiere gerade die Zeile von Jan aus, es funktioniert noch nicht. Will aber erst mal selbst schauen warum nicht.

[testperson 1.677]

Ggfs. fehlt vorab noch ein "Import-Module ActiveDirectory" ;)

[highvoltadmin 0]

Ich bin schon im Active Directory-Modul für Windows Power Shell unterwegs.

Der Teilbefehl:

Get-ADUser dummy -Properties MemberOf

funktioniert auch, wobei dummy der saMAccoutName ist.

 

Aber wenn ich den ganzen Befehl ausführen lasse, scheint es ein Problem zu geben. Es kommt keine Fehlermeldung, sondern nur ein prompt mit >>

Nachdem ich die Frage jetzt ein paar mal gelesen habe: Wäre es hier nicht organisatorisch am einfachsten, "Mutter-Admin" oder "Tochter-Admin" legen den User gleich richtig an? Anstatt sich hier gegenseitig zu beschäftigen?

Ja klar wäre das das Einfachste. Aber Mutter von den Anliegen der Tochter zu überzeugen, ist immer ein Problemfall. Deshalb suche ich hier nach einer anderen Lösung.

[NilsK 2.934]

Moin,

 

wenn die PowerShell nichts zurückgibt, bedeutet das meist, dass der Vorgang erfolgreich war.

 

Man könnte Jans Ansatz noch etwas eleganter machen und in mehrere Teile zerlegen. Dann sieht man auch besser, wo evtl. noch ein Fehler ist.

 

Gruß, Nils

[highvoltadmin 0]

Alles gut, konnte nur runde von geschweiften Klammern nicht unterscheiden. Copy and paste ist halt besser als abschreiben. :)

 

Eine Fehlermeldung kommt noch, aber die ist berechtigt, weil der user1 ja bereits Domain User ist.

 

Muss ich halt beim dummy diese Gruppenmitgliedschaft entfernen.

 

Vielen Dank an alle Beteiligten und schönes WE

[lefg 276]

Ich stelle mir die Frage, warum wird der User nicht mit der GUI des AD den Sicherheitsgruppen hinzugefügt? Geht es nicht? Was habe ich falsch, was habe ich nicht verstanden?

bearbeitet 2. September 2016 von lefg

[highvoltadmin 0]

Sicher kann ich das tun, wollte mir die Arbeit aber vereinfachen, weil jeder neue Nutzer in einer Anzahl von definierten Standardgruppen drin sein muss und die Mutterfirma mir aber neue user sozusagen nackig hinstellt. Das script von Jan tut genau das, was ich erreichen wollte, nämlich den Nutzer in n Gruppen in einem Rutsch hinzufügen.

Ich hoffe, dass ich mich jetzt verständlich ausgedrückt habe. ;)

[lefg 276]

 

Sicher kann ich das tun, wollte mir die Arbeit aber vereinfachen,

 

 

Moin,

 

inzwischen habe ich die Sache mit dem Arbeit ersparen verstanden. :)

bearbeitet 2. September 2016 von lefg

[blub 115]

Wäre es nicht flexibler und auch MS-konformer, wenn du z.B. eine "standardgroup_01" mit den Usern erstellst und diese in die 10 Anwendungsgruppen einfügst? Dann hast du eine logische (ggf.globale) Gruppe, die du zu resource (ggf. local) Gruppen hinzufügst.

 

Funktionieren werden beide Wege. Aber spiel mal zukünftige Szenarien gedanklich durch: Was kann sich ändern und wie flexibel ist dein Prozess bei Änderungen?

 

blub

[NilsK 2.934]

Moin,

 

Wäre es nicht flexibler und auch MS-konformer, wenn [...]

 

nicht automatisch. Das hängt immer sehr von den Gegebenheiten ab. Den gewählten Weg halte ich für grundsätzlich völlig OK.

 

Gruß, Nils