• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Rekursives Auslesen von Gruppenmitgliedern im AD

Okt 26, 2020 (Letztes Update) | Posted by Hannes Hayashi PowerShell |

 

Rekursives Auslesen von Gruppenmitgliedern im AD

Bei jedem Projekt gibt es irgendwann einmal den Fall, dass alle Mitglieder einer bestimmten AD-Gruppe rekursiv ausgelesen werden müssen. 

Inhaltsverzeichnis

  • 1 Rekursives Auslesen von Gruppen und Mitgliedern
    • 1.1 Kommando Get-ADGroupMember für flache Benutzerliste
    • 1.2 LDAP-Query und OIDs
    • 1.3 Verschachtelte Gruppen (Nested Groups) einfach auflösen

Rekursives Auslesen von Gruppen und Mitgliedern

Rekursiv heißt in diesem Fall:

Wenn die AD-Gruppe noch weitere Gruppen als Mitglieder hat, so sollen nicht diese Gruppen, sondern deren Mitglieder ausgelesen werden. Das Endresultat soll dann in 99% der Fälle eine „flache“ Liste mit Benutzern sein.

Kommando Get-ADGroupMember für flache Benutzerliste

Diese 99% sind auch mit einem kleinen Ein-Zeiler erledigt:

PowerShell
1
Get-ADGroupMember "My Group" -Recursive

Ein Problem besteht darin, daß das Kommando unter Umständen sehr langsam und daher nicht für oft laufende Skripte mit mehreren Gruppen geeignet ist.

LDAP-Query und OIDs

Get-ADGroupMember verwendet im Hintergrund eine sogenannte OID namens „LDAP_MATCHING_RULE_IN_CHAIN“. Dasselbe kann man auch mit folgendem Kommando erreichen:

PowerShell
1
2
Get-ADObject -LDAPFilter
"(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,DC=MyDomain,DC=net))"

Diese Art von LDAP-Query ist deutlich langsamer als eine normale Abfrage. Mehr Informationen dazu finden Sie hier.

Verschachtelte Gruppen (Nested Groups) einfach auflösen

Einen schnelleren Weg bietet die FirstWare DynamicGroup Software, mit der man Gruppenverschachtelungen binnen weniger Sekunden auflösen kann.

Der Vorteil hier: Ändern sich Mitglieder der verschachtelten Gruppen, werden diese Änderungen dynamisch mit aktualisiert. Es befinden sich nur Mitglieder in der “Endgruppe”, die sich auch in den “Mitgliedsgruppen” befinden. Auch bei Änderungen der “Mitgliedsgruppen”.

DynamicGroup Flat Groups

Verschachtelte Gruppen in einer dynamischen Gruppe / Flat Group Funktion

Über die Einstellung “Flat Group” können Sie alle Gruppen, die Mitglieder in einer AD-Gruppe sind, entflechten. DynamicGroup ermöglicht es Ihnen, die Verschachtelungen aufzulösen und nur die echten User in die Gruppe zu übernehmen:

DynamicGroup Auflösung der Gruppen

Rekursiv aufgelöste Mitglieder (Benutzer). Änderungen der Mitgliedgruppen werden berücksichtigt.

Der Vorteil dieser Variante ist, daß sie schnell operieren können und immer auf dem aktuellsten Stand sind. Wie der Name schon andeutet, erzeugt die Software dynamische Gruppen, die jegliche Änderungen im AD sofort widerspiegeln.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 16.08.2017
Tags: Auflösen einer Gruppedynamische GruppenFlat GroupGet-ADGroupMemberGruppenverschachtelungenNested GroupsPowerShellrekursives Auslesen
1

You also might be interested in

active-directory-sites-mit-powershell-snip

Active Directory Sites mit Powershell automatisieren

Mrz 16, 2015

Am Ende dieses Artikels stelle ich ein fertiges Skript vor. Mit[...]

Passwortgenerierung nach Richtlinien-Änderung anpassen

Passwortgenerierung nach Richtlinien-Änderung anpassen

Apr 9, 2021

Wie können wir die Passwortgenerierung nach einer Richtlinien-Änderung anpassen? Um[...]

PowerShell-Multi-Value-Attributes

Active Directory: PowerShell und Multi Value Attributes

Feb 18, 2014

Multi Value Attribute lassen sich mit PowerShell beschreiben. Mit dem[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • JFrog Container Registry einrichten 2/3
  • JFrog Container Registry einrichten 1/3
  • Passwortgenerierung nach Richtlinien-Änderung anpassen
  • Zeichenfolgen in Passwörtern vermeiden
  • 6 Lösungen, wenn Outlook Abwesenheitsnotiz vergessen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Get-Aduser Letzte Anmeldung - login 2 class bei AD PowerShell Basics 2: Get-ADUser
  • Richtlinien Passwortgenerierung anpassen - Active Directory FAQ.de bei PowerShell – Zufälliges Passwort nach eigenen Vorgaben generieren
  • Elysabeth Yven bei Outlook Suche verfeinern mit speziellen Suchkriterien
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next