Powershell LDAP Abfrage - Mitglieder einer Gruppe

[kwakS 10]

Hallo zusammen,

 

ich glaube ich habe mal wieder ein Brett vorm Kopf.

Ich möchte ein Script bauen, um aus dem fremden AD Forest (kein Trust) die Mitglieder einer Gruppe auszulesen und dann deren Attribute (Name, E-Mail Adresse etc,) auslesen.

Es muss auch per LDAP abgefragt werden, weil sonst keine weiteren Firewall Ports offen sind...

 

Ziel des Scripts soll es sein, die Mitglieder als E-Mail Kontakte im Exchange einzupflegen.

 

Bisher habe ich folgende Zeilen, die mir die Mitglieder der Gruppe ausgeben (als CN):

$conn = "LDAP://corp.contoso.com:389/ou=user,ou=contoso,dc=corp,dc=contoso,dc=com"
[ADSI] $RootDSE = $conn
[Object] $RootDomain = New-ObjectSystem.DirectoryServices.DirectoryEntry($conn,"serviceuser@corp.contoso.com","hallowelt")
[Object] $Searcher = New-Object System.DirectoryServices.DirectorySearcher
$Searcher.SearchRoot = $RootDomain
$Searcher.PageSize = 1000

$filter="(&(objectClass=group)(cn=$group))"

$Searcher.Filter=$filter

$result=$Searcher.FindOne()
$members = $result.Properties.Item("member")
$members

Als Ausgabe erfolgt dann:

CN=Frank Frankenstein,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Horst Vomwalde,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Udo Lindernberg,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Bert Wollersheim,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com

Alle Mitglieder dieser Gruppe werden ausgegeben.

Soweit alles gut.

Nur weiß ich jetzt nicht weiter, wie ich die Attribute der einzelnen Mitglieder auslesen kann und z.b. in eine CSV exportieren kann.

 

Habt ihr eine Idee?

 

Grüße Harald

[blub 115]

Prinzipiell genauso, wie du es oben schon gemacht hast

$User = [ADSI]"LDAP://$PDCe/$UserDN"
$User.Properties.Item("CN")

[NilsK 2.934]

Moin,

 

kann man so machen - aber wenn ihr sowieso mit einem CSV arbeitet, warum exportiert ihr die Daten nicht einfach an der Quelle? Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

 

Gruß, Nils

[kwakS 10]

Moin,

 

kann man so machen - aber wenn ihr sowieso mit einem CSV arbeitet, warum exportiert ihr die Daten nicht einfach an der Quelle? Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

 

Gruß, Nils

Hallo Nils,

 

ja, mit dem Export an der Quelle stimme ich dir vollkommen zu. Aber manchmal kann man nicht immer so wie wir die IT es gerne möchte (Stichwort Politik...)

Im produktiven Script ist das Kennwort natürlich verschlüsselt abgelegt... Was natürlich nicht bedeutet, dass man es von dort aus nicht auch wieder entschlüsseln kann...

 

Ich danke dir trotzdem für deine Hinweise.

Danke blub für deinen Hinweis.

Das war der Tipp den ich bräuchte

[blub 115]

Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

[NilsK 2.934]

Moin,

 

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

 

wie - und so ein Satz von dir? :D

 

Ein Kennwort gehört nicht in ein Skript. Auch nicht verschleiert. Und auch nicht, wenn der User aufs AD "nur" Leserechte hat.

 

Wenn ein CSV-Export erzeugt wird, klingt das für mich nach einer einmaligen Sache. Auch wenn dafür ein Remotezugriff nötig ist, braucht das Kennwort für sowas nicht im Skript zu stehen - man könnte es bei der Skriptausführung anfordern und gesichert übergeben.

 

Gruß, Nils

[blub 115]

Moin,

wie - und so ein Satz von dir?

 

Man soll immer fair bleiben und es den Angreifern auch nicht zu schwer machen

[NilsK 2.934]

Moin,

 

Man soll immer fair bleiben und es den Angreifern auch nicht zu schwer machen

 

da hast du natürlich Recht. Sehr sozial gedacht.

 

Gruß, Nils