Jump to content

AD-Gruppen in Exchangeverteiler umwandeln


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Servus zusammen,

 

ich habe eine Liste von AD-Sicherheitsgruppen, die nun auch Exchangeverteiler (Exchange 2010SP3 RU 28) werden sollen.

Die Gruppen habe ich alle schon auf "Universal" umgestellt.

Allerdings scheitere ich leider daran, die Gruppen über "Enable-Distributiongroup" so zu erstellen, das für den Wert "Identity" der Verteilergruppen z.B. der jeweilige SamAccountName des AD-Objekts pro Gruppe übernommen wird.

 

Sprich am Ende möchte ich, dass jeder Exchangeverteiler als "Identity" den SamAccountName des AD-Objekts hat.

Kann mir da jemand zufällig die korrekte Schleife nennen, wie ich das hinbekomme?

 

Ist bestimmt kein Hexenwerk, ich weiß. Aber ich freue mich über jede Hilfe! (:

 

Viele Grüße

Novo

 

 

Link zu diesem Kommentar

Hallo Jan,

 

Danke für deine Antwort!

 

Nein, für NTFS-Berechtigungen werden diese Gruppen nicht verwendet.

Eine Applikation macht anhand dieser Gruppen LDAP-Abfragen, um die darin enthaltenen User für einen Login zu berechtigen.

Wir haben auch bereits eine dieser Gruppen manuell in einen Exchangeverteiler umgewandelt, um das Verhalten zu testen. Sprich, dass der Login noch funktioniert. Das war auch erfolgreich.

Da das aber eine erhebliche Anzahl an Gruppen ist - da dieser Login nach unterschiedlichen Mandanten getrennt ist - möchte ich jetzt natürlich nicht jede Gruppe einzeln anlegen.

 

Die Anforderung ist daher, dass die bestehenden Gruppen erhalten bleiben und zusätzlich in Zukunft Exchangeverteiler sind, damit man den Personenkreis über etwaige Störungen, etc. informieren kann.

 

Viele Grüße

Novo

Link zu diesem Kommentar

Steht doch direkt dahinter wofür die Gruppen angelegt wurden bzw. da sind :grins1:

 

„Eine Applikation macht anhand dieser Gruppen LDAP-Abfragen, um die darin enthaltenen User für einen Login zu berechtigen.“

 

Wie gesagt: die Gruppen sollen bestehen bleiben und zusätzlich nun Verteiler werden. Wir brauchen nicht darüber spekulieren, wofür sie evtl. da waren oder sind. Das habe ich wie gesagt geschrieben und ist alles mit den betroffenen Kollegen abgeklärt :smile2::thumb1:

 

Ich würde mich freuen, wenn mir jemand mit dem entsprechenden Befehlen oder Scriptzeilen auf die Sprünge helfen könnte :cool:

Link zu diesem Kommentar

Vor diesem Hintergrund würde ich definitiv mit "Berechtigungs-Gruppen" den Login berechtigen und mit "Verteiler-Gruppen" E-Mails verteilen.

  • Was tun, wenn jemand keinen Login erhalten soll, aber eine Mail-Benachrichtung bekommen soll?
  • Was tun, wenn jemand einen Login hat, aber keine Benachrichtung will?

An der Stelle verstehe ich allerdings nicht was dich an dem Property bzw. dem Objekt / der Klasse "Identity" stört? Die Verteilergruppe hat doch bereits ein SamAccountName Property? Du wirst die Identity vermutlich auch nur bedingt mit "Set-DistributionGroup <alter Name> -Name <neuer Name> -Alias <neuer Name> -SamAccountName <neuer Name> -DisplayName <neuer Name>" ändern können.

bearbeitet von testperson
Link zu diesem Kommentar

Ich danke dir für deine aufmerksamen Fragen und Bedenken, aber das ist schon alles so gewollt.

 

Alle User die in den Gruppen sind, sollen im Zweifelsfall benachrichtigt werden. Wir sprechen hier nicht über automatisierte Mails, sondern vom User HelpDesk manuell versendete Benachrichtigungen, falls der Service aktuell nicht vorhanden ist.

 

Das sollen entsprechend alle User bekommen. Gleichzeitig soll allen, die in den Gruppen sind, immer der Login möglich sein.

 

Ein Grund dafür, dass wir nicht zwei unterschiedliche Gruppen (Berechtigung und Mailversand) haben möchten ist mitunter, dass unser User HelpDesk auch die Pflege der Gruppen vornimmt. Hier soll jeweils immer nur eine Stelle und nicht zwei Stellen gepflegt werden.

 

An dieser Stelle also nochmal: wir brauchen darüber nicht reden :grins1:

 

Zu deiner anderen Frage:

 

Mein Problem ist, dass ich bei dem Befehl „Enable-Distributiongroup“ das Property „Identity“ übergeben muss. Ein „Set“ kann ich glaube ich gar nicht machen.

 

In der Regel ist bei unseren Verteilergruppen der SamAccountName identisch zum Alias. Daher würde ich gerne pro Gruppe in meiner Liste ein „Enable-Distributiongroup“ durchführen und pro Gruppe (als Beispiel) das Property des SamAccountName als Alias des Verteilers setzen.

Link zu diesem Kommentar
vor 8 Minuten schrieb NorbertFe:

Manche wollen eben alle Stolpersteine selbst erfahren. ;)

Ist ja nett, dass du immer solche Kommentare abgibst ;);););););););) ist aber leider weder

 

A) Hilfreich 

noch

B) Konstruktiv

 

;);););););););)

 

Hat nichts mit Stolperstein zu tun. So wie wir uns das wünschen, stellt das überhaupt kein Problem dar.

 

Weiteres dazu habe ich auch schon in meiner letzten Antwort geschrieben. Du kennst das Konstrukt ja überhaupt nicht. Also spar dir sowas.

Link zu diesem Kommentar
vor einer Stunde schrieb Novo89:

Alle User die in den Gruppen sind, sollen im Zweifelsfall benachrichtigt werden. Wir sprechen hier nicht über automatisierte Mails, sondern vom User HelpDesk manuell versendete Benachrichtigungen, falls der Service aktuell nicht vorhanden ist.

Das würde ich bevorzugt automatisiert tun.

 

vor einer Stunde schrieb Novo89:

Ein Grund dafür, dass wir nicht zwei unterschiedliche Gruppen (Berechtigung und Mailversand) haben möchten ist mitunter, dass unser User HelpDesk auch die Pflege der Gruppen vornimmt. Hier soll jeweils immer nur eine Stelle und nicht zwei Stellen gepflegt werden.

Das würde ich ebenso automatisiert reledigen. Dann muss der HelpDesk nur ein Script ausführen / nur ein FrontEnd bedienen und automagisch zwei Gruppen erstellen.

 

vor einer Stunde schrieb Novo89:

In der Regel ist bei unseren Verteilergruppen der SamAccountName identisch zum Alias. Daher würde ich gerne pro Gruppe in meiner Liste ein „Enable-Distributiongroup“ durchführen und pro Gruppe (als Beispiel) das Property des SamAccountName als Alias des Verteilers setzen. 

Das verstehe ich immer noch nicht so ganz. Du könntest allerdings mit "Get-ADGroup" deine Gruppen auslesen und diese Stück für Stück per "foreach-Object" durchgehen und dann die Verteilergruppe "Enable-DistributionGroup" anhand des Name, DistinguishedName, CanonicalName oder der ObjectGUID der AD-Gruppe erstellen lassen.

 

P.S.: Ich habe / hatte* einige Kunden die (teilweise schmerzhaft) lernen mussten, dass man ihnen nichts böses mit seinen Ratschlägen will. Das heißt nicht, dass du hier mit einer Gruppe zwingend auf die Nase fallen wirst, allerdings würde ich definitiv zwei Gruppen bevorzugen und dem HelpDesk ein entsprechendes Script zur Anlage überlassen.

 

* Die jetzt kein Kunde mehr sind, fühlten sich übrigens im Nachhinein oft schlecht beraten und hatten plötzlich Gedächtnisschwund. ;)

Link zu diesem Kommentar

Moin,

 

ich habe keine Umgebung an der Hand, um das auszuprobieren. Der übliche Weg wäre aber, dass du dir mit einem Get-Befehl (vermutlich Get-ADGroup)  alle gewünschten Objekte in eine Variable lädst. Die kannst du dann z.B. mit foreach durchgehen und den jeweils gewünschten Wert mit $_.<Eigenschaft> an das Ziel-Cmdlet (also wohl Enable-DistributionGroup) übergeben.

 

Dass das organisatorische Folgen haben kann, ist hier ja schon diskutiert worden. Deine bisherigen Probleme bei der Umsetzung hast du bislang allerdings auch noch nicht beschrieben.Wenn es da zu Fehlern kommt, nenne es bitte genau.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...