Novo89 0 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 Servus zusammen, ich habe eine Liste von AD-Sicherheitsgruppen, die nun auch Exchangeverteiler (Exchange 2010SP3 RU 28) werden sollen. Die Gruppen habe ich alle schon auf "Universal" umgestellt. Allerdings scheitere ich leider daran, die Gruppen über "Enable-Distributiongroup" so zu erstellen, das für den Wert "Identity" der Verteilergruppen z.B. der jeweilige SamAccountName des AD-Objekts pro Gruppe übernommen wird. Sprich am Ende möchte ich, dass jeder Exchangeverteiler als "Identity" den SamAccountName des AD-Objekts hat. Kann mir da jemand zufällig die korrekte Schleife nennen, wie ich das hinbekomme? Ist bestimmt kein Hexenwerk, ich weiß. Aber ich freue mich über jede Hilfe! (: Viele Grüße Novo Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 Hi, was machst du denn derzeit mit den AD-Sicherheitsgruppen? Werden die für NTFS Berechtigungen bzw. "Berechtigungen" genutzt? Wenn dem so ist, würde ich für die Verteilung direkt neue bzw. reine Verteilergruppen anlegen. Gruß Jan Zitieren Link zu diesem Kommentar
Novo89 0 Geschrieben 9. August 2019 Autor Melden Teilen Geschrieben 9. August 2019 Hallo Jan, Danke für deine Antwort! Nein, für NTFS-Berechtigungen werden diese Gruppen nicht verwendet. Eine Applikation macht anhand dieser Gruppen LDAP-Abfragen, um die darin enthaltenen User für einen Login zu berechtigen. Wir haben auch bereits eine dieser Gruppen manuell in einen Exchangeverteiler umgewandelt, um das Verhalten zu testen. Sprich, dass der Login noch funktioniert. Das war auch erfolgreich. Da das aber eine erhebliche Anzahl an Gruppen ist - da dieser Login nach unterschiedlichen Mandanten getrennt ist - möchte ich jetzt natürlich nicht jede Gruppe einzeln anlegen. Die Anforderung ist daher, dass die bestehenden Gruppen erhalten bleiben und zusätzlich in Zukunft Exchangeverteiler sind, damit man den Personenkreis über etwaige Störungen, etc. informieren kann. Viele Grüße Novo Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 vor einer Stunde schrieb Novo89: Nein, für NTFS-Berechtigungen werden diese Gruppen nicht verwendet. Wofür wurden/werden sie denn verwendet? Denn irgendeinen Grund muss es gegeben haben sie anzulegen. ;) Zitieren Link zu diesem Kommentar
Novo89 0 Geschrieben 9. August 2019 Autor Melden Teilen Geschrieben 9. August 2019 Steht doch direkt dahinter wofür die Gruppen angelegt wurden bzw. da sind „Eine Applikation macht anhand dieser Gruppen LDAP-Abfragen, um die darin enthaltenen User für einen Login zu berechtigen.“ Wie gesagt: die Gruppen sollen bestehen bleiben und zusätzlich nun Verteiler werden. Wir brauchen nicht darüber spekulieren, wofür sie evtl. da waren oder sind. Das habe ich wie gesagt geschrieben und ist alles mit den betroffenen Kollegen abgeklärt Ich würde mich freuen, wenn mir jemand mit dem entsprechenden Befehlen oder Scriptzeilen auf die Sprünge helfen könnte Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 (bearbeitet) Vor diesem Hintergrund würde ich definitiv mit "Berechtigungs-Gruppen" den Login berechtigen und mit "Verteiler-Gruppen" E-Mails verteilen. Was tun, wenn jemand keinen Login erhalten soll, aber eine Mail-Benachrichtung bekommen soll? Was tun, wenn jemand einen Login hat, aber keine Benachrichtung will? An der Stelle verstehe ich allerdings nicht was dich an dem Property bzw. dem Objekt / der Klasse "Identity" stört? Die Verteilergruppe hat doch bereits ein SamAccountName Property? Du wirst die Identity vermutlich auch nur bedingt mit "Set-DistributionGroup <alter Name> -Name <neuer Name> -Alias <neuer Name> -SamAccountName <neuer Name> -DisplayName <neuer Name>" ändern können. bearbeitet 9. August 2019 von testperson 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 Manche wollen eben alle Stolpersteine selbst erfahren. ;) Zitieren Link zu diesem Kommentar
Novo89 0 Geschrieben 9. August 2019 Autor Melden Teilen Geschrieben 9. August 2019 Ich danke dir für deine aufmerksamen Fragen und Bedenken, aber das ist schon alles so gewollt. Alle User die in den Gruppen sind, sollen im Zweifelsfall benachrichtigt werden. Wir sprechen hier nicht über automatisierte Mails, sondern vom User HelpDesk manuell versendete Benachrichtigungen, falls der Service aktuell nicht vorhanden ist. Das sollen entsprechend alle User bekommen. Gleichzeitig soll allen, die in den Gruppen sind, immer der Login möglich sein. Ein Grund dafür, dass wir nicht zwei unterschiedliche Gruppen (Berechtigung und Mailversand) haben möchten ist mitunter, dass unser User HelpDesk auch die Pflege der Gruppen vornimmt. Hier soll jeweils immer nur eine Stelle und nicht zwei Stellen gepflegt werden. An dieser Stelle also nochmal: wir brauchen darüber nicht reden Zu deiner anderen Frage: Mein Problem ist, dass ich bei dem Befehl „Enable-Distributiongroup“ das Property „Identity“ übergeben muss. Ein „Set“ kann ich glaube ich gar nicht machen. In der Regel ist bei unseren Verteilergruppen der SamAccountName identisch zum Alias. Daher würde ich gerne pro Gruppe in meiner Liste ein „Enable-Distributiongroup“ durchführen und pro Gruppe (als Beispiel) das Property des SamAccountName als Alias des Verteilers setzen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 Und was hindert dich? Zitieren Link zu diesem Kommentar
Novo89 0 Geschrieben 9. August 2019 Autor Melden Teilen Geschrieben 9. August 2019 vor 8 Minuten schrieb NorbertFe: Manche wollen eben alle Stolpersteine selbst erfahren. ;) Ist ja nett, dass du immer solche Kommentare abgibst ;);););););););) ist aber leider weder A) Hilfreich noch B) Konstruktiv ;);););););););) Hat nichts mit Stolperstein zu tun. So wie wir uns das wünschen, stellt das überhaupt kein Problem dar. Weiteres dazu habe ich auch schon in meiner letzten Antwort geschrieben. Du kennst das Konstrukt ja überhaupt nicht. Also spar dir sowas. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 9. August 2019 Melden Teilen Geschrieben 9. August 2019 vor einer Stunde schrieb Novo89: Alle User die in den Gruppen sind, sollen im Zweifelsfall benachrichtigt werden. Wir sprechen hier nicht über automatisierte Mails, sondern vom User HelpDesk manuell versendete Benachrichtigungen, falls der Service aktuell nicht vorhanden ist. Das würde ich bevorzugt automatisiert tun. vor einer Stunde schrieb Novo89: Ein Grund dafür, dass wir nicht zwei unterschiedliche Gruppen (Berechtigung und Mailversand) haben möchten ist mitunter, dass unser User HelpDesk auch die Pflege der Gruppen vornimmt. Hier soll jeweils immer nur eine Stelle und nicht zwei Stellen gepflegt werden. Das würde ich ebenso automatisiert reledigen. Dann muss der HelpDesk nur ein Script ausführen / nur ein FrontEnd bedienen und automagisch zwei Gruppen erstellen. vor einer Stunde schrieb Novo89: In der Regel ist bei unseren Verteilergruppen der SamAccountName identisch zum Alias. Daher würde ich gerne pro Gruppe in meiner Liste ein „Enable-Distributiongroup“ durchführen und pro Gruppe (als Beispiel) das Property des SamAccountName als Alias des Verteilers setzen. Das verstehe ich immer noch nicht so ganz. Du könntest allerdings mit "Get-ADGroup" deine Gruppen auslesen und diese Stück für Stück per "foreach-Object" durchgehen und dann die Verteilergruppe "Enable-DistributionGroup" anhand des Name, DistinguishedName, CanonicalName oder der ObjectGUID der AD-Gruppe erstellen lassen. P.S.: Ich habe / hatte* einige Kunden die (teilweise schmerzhaft) lernen mussten, dass man ihnen nichts böses mit seinen Ratschlägen will. Das heißt nicht, dass du hier mit einer Gruppe zwingend auf die Nase fallen wirst, allerdings würde ich definitiv zwei Gruppen bevorzugen und dem HelpDesk ein entsprechendes Script zur Anlage überlassen. * Die jetzt kein Kunde mehr sind, fühlten sich übrigens im Nachhinein oft schlecht beraten und hatten plötzlich Gedächtnisschwund. ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. August 2019 Melden Teilen Geschrieben 13. August 2019 Moin, ich habe keine Umgebung an der Hand, um das auszuprobieren. Der übliche Weg wäre aber, dass du dir mit einem Get-Befehl (vermutlich Get-ADGroup) alle gewünschten Objekte in eine Variable lädst. Die kannst du dann z.B. mit foreach durchgehen und den jeweils gewünschten Wert mit $_.<Eigenschaft> an das Ziel-Cmdlet (also wohl Enable-DistributionGroup) übergeben. Dass das organisatorische Folgen haben kann, ist hier ja schon diskutiert worden. Deine bisherigen Probleme bei der Umsetzung hast du bislang allerdings auch noch nicht beschrieben.Wenn es da zu Fehlern kommt, nenne es bitte genau. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.