Rekursives Auslesen von Gruppenmitgliedern im AD
Bei jedem Projekt gibt es irgendwann einmal den Fall, dass alle Mitglieder einer bestimmten AD-Gruppe rekursiv ausgelesen werden müssen.
Inhaltsverzeichnis
Rekursives Auslesen von Gruppen und Mitgliedern
Rekursiv heißt in diesem Fall:
Wenn die AD-Gruppe noch weitere Gruppen als Mitglieder hat, so sollen nicht diese Gruppen, sondern deren Mitglieder ausgelesen werden. Das Endresultat soll dann in 99% der Fälle eine „flache“ Liste mit Benutzern sein.
Kommando Get-ADGroupMember für flache Benutzerliste
Diese 99% sind auch mit einem kleinen Ein-Zeiler erledigt:
1 | Get-ADGroupMember "My Group" -Recursive |
Ein Problem besteht darin, daß das Kommando unter Umständen sehr langsam und daher nicht für oft laufende Skripte mit mehreren Gruppen geeignet ist.
LDAP-Query und OIDs
Get-ADGroupMember verwendet im Hintergrund eine sogenannte OID namens „LDAP_MATCHING_RULE_IN_CHAIN“. Dasselbe kann man auch mit folgendem Kommando erreichen:
1 2 | Get-ADObject -LDAPFilter "(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,DC=MyDomain,DC=net))" |
Diese Art von LDAP-Query ist deutlich langsamer als eine normale Abfrage. Mehr Informationen dazu finden Sie hier.
Verschachtelte Gruppen (Nested Groups) einfach auflösen
Einen schnelleren Weg bietet die FirstWare DynamicGroup Software, mit der man Gruppenverschachtelungen binnen weniger Sekunden auflösen kann.
Der Vorteil hier: Ändern sich Mitglieder der verschachtelten Gruppen, werden diese Änderungen dynamisch mit aktualisiert. Es befinden sich nur Mitglieder in der “Endgruppe”, die sich auch in den “Mitgliedsgruppen” befinden. Auch bei Änderungen der “Mitgliedsgruppen”.
Verschachtelte Gruppen in einer dynamischen Gruppe / Flat Group Funktion
Über die Einstellung “Flat Group” können Sie alle Gruppen, die Mitglieder in einer AD-Gruppe sind, entflechten. DynamicGroup ermöglicht es Ihnen, die Verschachtelungen aufzulösen und nur die echten User in die Gruppe zu übernehmen:
Rekursiv aufgelöste Mitglieder (Benutzer). Änderungen der Mitgliedgruppen werden berücksichtigt.
Der Vorteil dieser Variante ist, daß sie schnell operieren können und immer auf dem aktuellsten Stand sind. Wie der Name schon andeutet, erzeugt die Software dynamische Gruppen, die jegliche Änderungen im AD sofort widerspiegeln.
PowerShell: Bestimmte AD-Gruppen als direkte Mitglieder erhalten
In einigen Fällen sollen jedoch bestimmte Gruppen nicht mit aufgelöst werden und als „direkte“ Member erhalten bleiben.
Dies lässt sich nur lösen, wenn wir uns eine eigene kleine Funktion schreiben. Sie soll die Gruppen rekursiv auflösen und dabei überprüfen, ob eines der Mitglieder eine Gruppe ist, die „erhalten“ bleiben soll. Und wenn wir schon dabei sind, geben wir uns auch ein bisschen Mühe und lösen das erste Problem gleich mit.
Nicht aufzulösende Gruppen festlegen
Das Skript hat folgenden (groben) Ablauf:
- Suche Gruppe im AD und gehe alle Mitglieder durch (Attribut „member“)
- Prüfe:
- Mitglied bereits in endgültiger Mitgliedliste? -> Überpringen
- Mitglied in Liste der nicht aufzulösenden Gruppen? -> Zu a. hinzufügen
- Mitglied in Gruppen-Cache? -> Zu 2.
- Gebe HashTable mit <distinguishedName,AD-Objekt> zurück
Das Skript wird folgendermaßen aufgerufen:
PS C:\> $members = .\resolve-members-recursive.ps1 -groupName „MyGroup“
Komplettes Skript “Selektiv AD-Gruppen rekursiv auflösen”
Wie oben beschrieben, ist das Rückgabeobjekt ein Hashtable im Format <distinguishedName,AD-Objekt>. Wenn man nur eine Liste von distinguishedNames benötigt, so kann man einfach $members.Keys ansprechen. Wenn man eine Liste von AD-Objekten benötigt (ähnlich wie der Rückgabe von „Get-ADGroupMember“), so kann man einfach $members.Values ansprechen.
Und nun das Skript um verschachtelte Gruppen teilweise aufzulösen in seiner vollen Pracht:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 | param([Parameter(Mandatory = $true)][String]$groupName) $groupsHT = @{} # This is our group cache $membersHT = @{} # These are our members function groupShouldNotBeResolved { param($member) $groupsToNotResolve = @( # These are CNs! Make sure that your sAMAccountNames and CNs match! "Domain Users" # Feel free to edit these! "SomeGroup" ) foreach($group in $groupsToNotResolve) { # We iterate through our list of groups... if($member.StartsWith(("CN=" + $group + ","), "CurrentCultureIgnoreCase") -eq $true) { # ...and check if our member matches $groupToNotResolveAD = Get-ADObject -Identity $member # If we find a match, we get it from AD $groupsHT.Add($member, $groupToNotResolveAD) # And add it to our list of groups, so we now it next time return $true # Let caller know this group should not be resolved } } return $false # This group should be resolved! } function resolve-members-recursive { param($members) # The input is a list of members (distinguishedNames) foreach($member in $members) { # We look at each member / distinguishedName if($membersHT.Contains($member) -eq $true) { # If the distinguishedName is already in our list of members, we skip it continue } elseif((groupShouldNotBeResolved $member) -eq $true) { # If the member is a group that should not be resolved.... $membersHT.Add($member, $groupsHT.$member) # We add it to our members list } elseif($groupsHT.Contains($member) -eq $true) { # If the distinguishedName is already in our group cache... resolve-members-recursive $groupsHT.$member # Resolve its members recursively! } else { # If the distinguishedName is in neither cache, we find out what it is... $memberAD = Get-ADObject -Identity $member -Properties member # ... from AD! if($memberAD.objectClass -eq "group") { # If it's a group... $groupsHT.Add($memberAD.distinguishedName, $memberAD.member) # We add it to our group cache resolve-members-recursive $groupsHT.$member # And resolve its members recursively } else { # If it's not a group, it must be a user... $membersHT.Add($member, $memberAD) # So we add it to our members list } } } } $groupToResolve = Get-ADObject -LDAPFilter ("(&(objectClass=group)(objectCategory=group)(sAMAccountName=" + $groupName + "))") -Properties member if($groupToResolve -eq $null) { Write-Host ($groupName + " could not be found in AD!") return $null } else { resolve-members-recursive $groupToResolve.member return $membersHT } |
FirstAttribute AG – Ihr Microsoft Consulting Partner
Wir unterstützen Sie bei PowerShell Scripting Fragen.
Nehmen Sie Kontakt zu uns auf.
Leave a Reply
Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz