highvoltadmin 0 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Hallo zusammen, ich bekomme von der Mutterfirma einen neuen user1 angelegt, der dann nur Mitglied von Domain Users ist. Ein Standarduser in unserer Subdomain hat aber mindestens 10 Gruppenmitgliedschaften. Ich habe dafür einen Dummy-User angelegt, von dem ich eine Kopie anlege und dann den user1 lösche. Das ist aber eher ungünstig, weil ich gern die SID vom user1 erhalten will. Deshalb suche ich einen Power Shell-Befehl, mit dem ich die Gruppenmitgliedschaften vom Dummy-User auf user1 übertragen kann. Zitieren Link zu diesem Kommentar
Beste Lösung testperson 1.708 Geschrieben 2. September 2016 Beste Lösung Melden Teilen Geschrieben 2. September 2016 Hi, so ganz verstehe ich die Gesamtsituation nicht, aber teste mal: foreach ($Gruppe in Get-ADUser Dummy-User -Properties MemberOf | Select MemberOf -ExpandProperty MemberOf) { Add-ADGroupMember $Gruppe user1 } Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 (bearbeitet) Min moin und Willkommen am Board :) Ich meine, mit der beschriebenen Vorgehensweise bist Du auf dem falschen Weg. Der User(Benutzerkonto) ist den gewünschten Sicherheitsgruppen hinzuzufügen. bearbeitet 2. September 2016 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Moin, Der User(Benutzerkonto) ist den gewünschten Sicherheitsgruppen hinzuzufügen. genau das hat er ja vor. Er möchte die Gruppen, die seinem Standard-User (quasi als Vorlage) zugewiesen sind, auch dem neuen User zuweisen. Ein durchaus übliches Vorhaben. Solange kein Identity Management im Spiel ist, kann man das auch so machen. Jans Kommandozeile sollte das auch erreichen. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Nachdem ich die Frage jetzt ein paar mal gelesen habe: Wäre es hier nicht organisatorisch am einfachsten, "Mutter-Admin" oder "Tochter-Admin" legen den User gleich richtig an? Anstatt sich hier gegenseitig zu beschäftigen? Zitieren Link zu diesem Kommentar
highvoltadmin 0 Geschrieben 2. September 2016 Autor Melden Teilen Geschrieben 2. September 2016 Danke bis jetzt für die Antworten, probiere gerade die Zeile von Jan aus, es funktioniert noch nicht. Will aber erst mal selbst schauen warum nicht. Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Ggfs. fehlt vorab noch ein "Import-Module ActiveDirectory" ;) Zitieren Link zu diesem Kommentar
highvoltadmin 0 Geschrieben 2. September 2016 Autor Melden Teilen Geschrieben 2. September 2016 Ich bin schon im Active Directory-Modul für Windows Power Shell unterwegs. Der Teilbefehl: Get-ADUser dummy -Properties MemberOf funktioniert auch, wobei dummy der saMAccoutName ist. Aber wenn ich den ganzen Befehl ausführen lasse, scheint es ein Problem zu geben. Es kommt keine Fehlermeldung, sondern nur ein prompt mit >> Nachdem ich die Frage jetzt ein paar mal gelesen habe: Wäre es hier nicht organisatorisch am einfachsten, "Mutter-Admin" oder "Tochter-Admin" legen den User gleich richtig an? Anstatt sich hier gegenseitig zu beschäftigen? Ja klar wäre das das Einfachste. Aber Mutter von den Anliegen der Tochter zu überzeugen, ist immer ein Problemfall. Deshalb suche ich hier nach einer anderen Lösung. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Moin, wenn die PowerShell nichts zurückgibt, bedeutet das meist, dass der Vorgang erfolgreich war. Man könnte Jans Ansatz noch etwas eleganter machen und in mehrere Teile zerlegen. Dann sieht man auch besser, wo evtl. noch ein Fehler ist. Gruß, Nils Zitieren Link zu diesem Kommentar
highvoltadmin 0 Geschrieben 2. September 2016 Autor Melden Teilen Geschrieben 2. September 2016 Alles gut, konnte nur runde von geschweiften Klammern nicht unterscheiden. Copy and paste ist halt besser als abschreiben. :) Eine Fehlermeldung kommt noch, aber die ist berechtigt, weil der user1 ja bereits Domain User ist. Muss ich halt beim dummy diese Gruppenmitgliedschaft entfernen. Vielen Dank an alle Beteiligten und schönes WE Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 (bearbeitet) Ich stelle mir die Frage, warum wird der User nicht mit der GUI des AD den Sicherheitsgruppen hinzugefügt? Geht es nicht? Was habe ich falsch, was habe ich nicht verstanden? bearbeitet 2. September 2016 von lefg Zitieren Link zu diesem Kommentar
highvoltadmin 0 Geschrieben 2. September 2016 Autor Melden Teilen Geschrieben 2. September 2016 Sicher kann ich das tun, wollte mir die Arbeit aber vereinfachen, weil jeder neue Nutzer in einer Anzahl von definierten Standardgruppen drin sein muss und die Mutterfirma mir aber neue user sozusagen nackig hinstellt. Das script von Jan tut genau das, was ich erreichen wollte, nämlich den Nutzer in n Gruppen in einem Rutsch hinzufügen. Ich hoffe, dass ich mich jetzt verständlich ausgedrückt habe. ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 (bearbeitet) Sicher kann ich das tun, wollte mir die Arbeit aber vereinfachen, Moin, inzwischen habe ich die Sache mit dem Arbeit ersparen verstanden. :) bearbeitet 2. September 2016 von lefg Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 3. September 2016 Melden Teilen Geschrieben 3. September 2016 Wäre es nicht flexibler und auch MS-konformer, wenn du z.B. eine "standardgroup_01" mit den Usern erstellst und diese in die 10 Anwendungsgruppen einfügst? Dann hast du eine logische (ggf.globale) Gruppe, die du zu resource (ggf. local) Gruppen hinzufügst. Funktionieren werden beide Wege. Aber spiel mal zukünftige Szenarien gedanklich durch: Was kann sich ändern und wie flexibel ist dein Prozess bei Änderungen? blub Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 4. September 2016 Melden Teilen Geschrieben 4. September 2016 Moin, Wäre es nicht flexibler und auch MS-konformer, wenn [...] nicht automatisch. Das hängt immer sehr von den Gegebenheiten ab. Den gewählten Weg halte ich für grundsätzlich völlig OK. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.