PowerShellAdmin
-
Gesamte Inhalte
1.187 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von PowerShellAdmin
-
-
Hallo ich zerbreche mir gerade den Kopf.
Ich benötige daher etwa das:
Get-ADUser -Filter {mail -ne ""}
Ich benötige vorab einen Filter und keine spätere IF-Abfrage z.B. per Adsi.
Warum: Weil ich per Get-ADUser nur Benutzer mit eMailadresse einlesen will. Hier werden im Anschluss verschiedene Attribute gesammelt-Ausschließlich von Benutzern mit eMailadresse. 1500 von ~7000 Benutzern haben eine eMail, daher würde dann der Skript anstatt ~20Min auf 7Min verkürzt werden.
Grüße Funkypunk
-
Hallo erstmal,
also die genannten Attribute waren mir bekannt, ebenfalls die Customattributs die mit dem ExchangeServer das Schema erweitern.
Das AD sollte in Anforderungen ein wenig als Personaldatenbank/Schnittstelle "missbraucht" werden .
Dafür ist das AD natürlich nicht gedacht und ungeeignet. Daher legen wir die Daten in eine kleine Perso-DB
Aufgrund der Problematik wollte ich wissen, ob man eine Schemaerweiterung überhaupt auslagern kann... scheint ja leider nicht der Fall.
Diese AD-LDS Instanzen eignen sich ja z.B. für eine gesicherte Kopie des ADs im DMZ - so wie ich das jetzt an mehreren Beispielen gesehen habe.
Gibt es zu dem Thema/Bereich Active Directory Schema/Forest eine gute Lektüre - Buch oder Artikel - die ihr noch empfehlen würdet (interessiert mich generell )?
Danke & Grüße :)
-
Hallo zusammen,
ich möchte dem Benutzerobjekt weitere Attribute hinzufügen (custom Attributs)
In meiner Testumgebung habe ich bereits z.B. ein Attributpersonalnummer im AD-Schema erstellt.
Da es Neuland für mich ist, habe ich hier auch verschiedene Artikel gelesen
z.B. faq-o-matic.net » AD-Schemaerweiterung: Ein paar Hinweise
Aufgrund der Sensibilität möchte ich das Ganze gerne aus dem AD auskoppeln. Daher habe ich mir die AD-LDS Role installiert (ehemals Adam). Dort habe ich mir eine Instanz installiert, sowie in diesem Schema das neue Attribut angelegt und der Klasse "User" hinzugefügt.
Jetzt kommt meine Frage:
Kann ich das Attribut in der AD-LDS Instanz auf meine AD-Class User mappen oder wie geht man hier vor ?
Ziel: Custom Attribut in AD-LDS auslagern
vielen Dank :)
Da mir leider auch trotz google & co nicht ganz klar ist, würde ich gerne wissen wie ich hier bestmöglichst vorzugehen habe.
-
Ou Nk2 löschen wäre ganz schlecht ;), da würde ich aber eins auf die Mütze bekommen.
Es lässt sich übrigens auch editieren (Nk2 Editor).
-
Danke für deine Antwort.
Hatte gehofft hier gibt es einen "zentraleren" Workaround, so dass man dies nicht bei jeder eMailadresse machen muss.
Einziger Wehrmutstropfen ist, dass die Benutzer das löschen auch eigenständig hinkriegen.
-
Hallo Zusammen,
ich habe eine Problem:
Bei uns hatten verschiedene Mitarbeiter 2 Benutzerpostfächer und das 2. Benutzerpostfach war eingebunden.
z.B. Benutzer@Domain1.com & Benutzer@Domain2.com
Nun wollten wir bei bestimmten Mitarbeitern dies wieder zusammenführen.
Also habe ich
1. eMail gesendet und Empfangen in den Hauptbenutzer in eigene Ordner kopiert
2. 2. Benutzer deaktiviert, eMailadresse geändert, sodass die ursprüngliche wieder frei war.
3. Dem Hauptbenutzer die eMailadresse des 2. Benutzer hinzugefügt.
4. Die extern eingehende eMails auf den 2. Benutzer zum Hauptbenutzer umgeleitet
Problem:
Externe eMails an Benutzer@Domain2.com kommen an
Innerhalb der Organisation packt Outlook die eMails an "Benutzer@Domain2.com" -also an den deaktivierten Windows-Benutzer, anstatt dem Hauptbenutzer. Es kommt zu Fehlermeldung
Wie muss ich hier an den Clients vorgehen um den Eintrag die Verknüpfung aus Outlook zu entfernen? Muss ich den Eintrag aus jedem Outlook-Cache löschen ?
-
Hallo,
1. Test das Attribut mal bitte in eckigen Klammern. Dein Aufruf sollte so aussehen:
Get-ADUser -filter * -Properties Samaccountname, Givenname, Surname, Company, Mail, Description, msNPAllowDialin, [securecomputingCom2000-SafeWord-UserID], LastLogondate | select Samaccountname, Givenname, Surname, Company, Mail, Description, msNPAllowDialin, [securecomputingCom2000-SafeWord-UserID], LastLogondate | export-csv \\servername\freigabe\nutzer.csv -Encoding utf8 -notype
2. Test mal bitte folgenden Aufruf
$sam="DEIN SAMMACCOUNTNAME" $scc2000=(((([directoryservices.directorysearcher] "(samaccountname=$sam").findall())[0].properties.getenumerator() | ? { $_.name -eq "securecomputingCom2000-SafeWord-UserID"}).value[0]).tostring() $scc20003. Sollte die Ausgabe in der Console korrekt sein, die Daten nur nicht erfolgreich exportiert werden, dann liegt ein Problem mit dem Datentyp vor.
Deine Pipe mit der Anordnung durch das Select ist auch richtig, ein |FT geht nicht in Verbindung mit einer CSV (nur zu Konsolenausgabe).
-
ah danke für den Hinweis. Hauptsache der Fehler ist weg. Die Fehlermeldung klangen ja erheblich schlimmer als die Ursache (:
Fürs nächste mal weiß ich bescheid.
-
Troubleshoot: Exchange 2010 EMC shows DC errors - Karsten Palmvig's blog - Site Home - TechNet Blogs
Fehler scheinbar gefunden, hatte die MMC aufgrund des Eventlogs und da dies nur auf 2 System auftrat in Verdacht.
Lösung gesamten MMC Ordner umbennen ! Womöglich geht es auch in den man nur die Daten mit dem Präfix "Exchange" entfernt. Habe ich nicht weiter getestet.
C:\Users\<user>\AppData\Roaming\Microsoft\MMC\
-
Also ich habe heute früh nochmal alle Systeme neugestartet.
Hier ein Auszug des Verhaltens.
DC mit Exchange 2010 Management => keine Fehlermeldung.
Exchange Server CAS =>Fehler
Exchange Server Hub =>Fehler
Die Fehler treten beim Management unter Postfächer und unter Serverkonfiguration aus. Nach 2 refreshs ist wieder alles ok.
Fehlermeldung kam z.B. bei der "Verbundseinstellung" oder wenn ich den DC einstellen möchte " Ein Fehler verursachte eine Änderung in der aktuellen Gruppe der Domänencontroller". Der Befehl 'Get OrganizationalUnit -SingleNodeOnly|-Property 'Type' -Value 'Domain' wurde ausgeführt.
Fehler im Exchange Management:
Quelle: MSExchange Configuration Cmdlet-RemoteManagement
Ereignis ID 5
Meldung:
(PID 7036, Thread 6) Task 'Get-ExchangeServer' löst Beendigungsausnahme in Phase Microsoft.Exchange.Data.Directory.ADTransientException: Ein Fehler verursachte eine Änderung in der aktuellen Gruppe der Domänencontroller. aus. Ausnahme: {e263132f-4d49-4cd0-87da-b92233da44b3}
Fehler im Exchange Management:
Quelle: MSExchange Configuration Cmdlet-RemoteManagement
Eregnis ID 4
Meldung:
"(PID 7036, Thread 15) Task 'Get-Recipient' schreibt beim Verarbeiten des Datensatzes von Index 0 einen Fehler. Fehler: Microsoft.Exchange.Data.Directory.SuitabilityDirectoryException: Active Directory-Fehler '0x 51' beim Prüfen der Eignung des Servers 'namedesaltendc': 'Active Directory-Antwort: Der LDAP-Server ist nicht verfügbar..'. ---> System.DirectoryServices.Protocols.LdapException: Der LDAP-Server ist nicht verfügbar.
bei System.DirectoryServices.Protocols.LdapConnection.Connect()
bei System.DirectoryServices.Protocols.LdapConnection.BindHelper(NetworkCredential newCredential, Boolean needSetCredential)
bei Microsoft.Exchange.Data.Directory.SuitabilityVerifier.CreateConnectionAndBind(String fqdn, Int32 portNumber, NetworkCredential credential)
--- Ende der internen Ausnahmestapelüberwachung ---
bei Microsoft.Exchange.Data.Directory.SuitabilityVerifier.CreateConnectionAndBind(String fqdn, Int32 portNumber, NetworkCredential credential)
bei Microsoft.Exchange.Data.Directory.SuitabilityVerifier.IsServerSuitable(String fqdn, Boolean isGlobalCatalog, NetworkCredential credential, String& writableNC, LocalizedString& errorMessage)
bei Microsoft.Exchange.Data.Directory.ConnectionPoolManager.GetConnection(ConnectionType connectionType, ADObjectId domain, String serverName, Int32 port, NetworkCredential credential)
bei Microsoft.Exchange.Data.Directory.ConnectionPoolManager.GetConnection(ConnectionType connectionType, NetworkCredential networkCredential, String serverName, Int32 port)
bei Microsoft.Exchange.Data.Directory.ADSession.GetConnection(String preferredServer, Boolean isWriteOperation, Boolean isNotifyOperation, String optionalBaseDN, ADObjectId& rootId, ADScope scope)
bei Microsoft.Exchange.Data.Directory.ADSession.GetReadConnection(String preferredServer, ADObjectId& rootId, ADRawEntry scopeDeteriminingObject)
bei Microsoft.Exchange.Data.Directory.ADGenericReader.GetNextResultCollection(Type controlType, DirectoryControl& responseControl)
bei Microsoft.Exchange.Data.Directory.ADPagedReader`1.GetNextResultCollection()
bei Microsoft.Exchange.Data.Directory.ADGenericPagedReader`1.GetNextPage()
bei Microsoft.Exchange.Data.Directory.ADGenericPagedReader`1.<GetEnumerator>d__4.MoveNext()
bei Microsoft.Exchange.Configuration.Tasks.GetTaskBase`1.WriteResult[T](IEnumerable`1 dataObjects)
bei Microsoft.Exchange.Configuration.Tasks.GetTaskBase`1.InternalProcessRecord()"
-
Hallo Zusammen,
ich habe von uns einen alten DC depromoted, vorher natürlich sichergestellt das GC & Masterrollen auf einen andern DC liegen.
Hat auch alles wunderbar funktioniert, nur war der alte Server als standard-DC für den Exchange eingetragen.
How to Use a Specific Domain Controller in Exchange 2010 Management Shell
Habe hier den neuen DC angegeben, das Exchange-Managementstudio was auf dem DC installiert ist funktioniert auch korrekt.
Gehe ich auf den CAS oder Hub Exchangeserver und öffne dort das Management, dann meckert er mit verschiedensten Meldung. z.B. "Ein Fehler verursachte eine Änderung in der aktuellen Gruppe der Domänencontroller. Der Befehl 'Get-ExchangeServer' wurde ausgeführt" etc. Liegt das nur am Management auf den Servern oder liegt hier ein ernstes Problem vor ?
Ansich funzt der Exchangeserver, da ich das Problem als kritisch einordne habe ich jetzt erstmal den alten DC wieder hochgestuft hat den Fehler aber NICHt behoben.
:( vielen Dank !
-
im Outlook 2010 kann ich z.B. 2 Exchangekonten hinzufügen :O
blog.chrischmi.de: Outlook 2010: Multiple Exchange Accounts
Hier ging die Erinnerung.
-
Danke für die Antwort, habe ich schon vermuted :(
Leider ist das Programm nicht kompatibel zu Outlook 2001 x64, hat hier vielleicht Jemand eine passende Erweiterung im Einsatz ?
"Reminder Manager 2.1.29 or later will work with Outlook 2010 in 32-bit mode. Reminder Manager does not work with Outlook 2010 64-bit mode"
http://www.publicshareware.de/public-reminder.php ist ja leider auch nur 32bit :/ grr
-
Hallo zusammen,
wir setzen Outlook 2010 in Verbindung mit Exchange 2010 ein.
Hier haben mehrere Mitarbeiter weitere Benutzerpostfächer eingebunden.
Problem: Kalendertermin des eingebundenen Benutzerpostfachs werden nicht durch die Erinnerung dargestellt.
Gibt es hier einen Weg, Lösung um die Erinnerungsfunktion hier einzusetzen ?
vielen Dank & Grüße
Jonathan
-
:) dafür gibts doch PowerShell. Mit Active Sync wird das also kein Problem, da Exchange 2010 den Corezugriff vollständig per PowerShell hat :)
Bin gespannt ob SQL 2011 auch umgestellt wurde oder der PowerShell-Corezugriff erweitert wurde, da beim 2008er nur ein Teil per PS zugreifbar ist.
Arbeite am liebsten nur mit den Standardboardmitteln, fremde Extensions nutze ich zurzeit noch nicht - hält alles sauber =) Bin da aber auch noch ein Einsteiger.
Set-CASMailbox: Hilfe zu Exchange 2010 SP1
So wie ich das sehe:
#Globales deaktivieren ActiveSync auf alle Postfächer
Get-mailbox -server MyServer | Set-CASMailbox -ActiveSyncEnabled $false
#Globales deaktivieren Outlook Anywhere auf alle Postfächer
Get-Mailbox –ResultSize Unlimited | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$True
anschließend Aktivieren je erlaubte Personen:
$member_adsync| Set-CASMailbox –ActiveSyncEnabled $true
Hier werde ich eine Windows Gruppe "EX_ActiveSync_OutlookAnywhere" erstellen und dessen Mitglieder in einer Foreach Schleife dann setzen (so etwa).
foreach($user in $wingroup)
{
$user.samaccountname| Set-CASMailbox –ActiveSyncEnabled $true
Get-Mailbox –Identity $user.samaccountname | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$False
}
Das Ganze würde ich als täglichen Task setzen, damit werden die Benutzer der Windowsgruppe automatisch aktualisiert.
Komme da aber erst gegen Montag zu, sobald ich alles habe, setze ich die Lösung hier rein. Sicher für andere auch mal interessant.
Könnte etwa so aussehen (eben schnell gebastelt, ist ungetestet)
Die Lösung bedeutet: Alle Mitglieder der Gruppe "EX_ActiveSync_OutlookAnywhere" haben zugriff auf ActiveSync & OutlookAnywhere. Kann man natürlich auch separat machen über 2 Windowsgruppen & 2 Schleifen in der PS.
#Import AD-Extensions
import-module activedirectory
#Objekt/Arralist enthält WindowsUser-Objekte aus der Windowsgruppe EX_ActiveSync_OutlookAnywhere. (stimmt glaube ich noch nicht)
$wingroup=Get-ADGroupMember 'EX_ActiveSync_OutlookAnywhere' -Recursive
#Globales deaktivieren ActiveSync auf alle Postfächer
Get-mailbox -server MyServer | Set-CASMailbox -ActiveSyncEnabled $false
#Globales deaktivieren Outlook Anywhere auf alle Postfächer
Get-Mailbox –ResultSize Unlimited | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$True
#Aktivieren von Exchange-ActiveSync & OutlookAnywhere
foreach($user in $wingroup)
{
#aktiviert auf den jeweiligen User ActiveSync
$user.samaccountname| Set-CASMailbox –ActiveSyncEnabled $true
#aktiviert auf den jeweiligen User OutlookAnywhere
Get-Mailbox –Identity $user.samaccountname | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$False
}
-
Ach so meinst du das :)
Na das ist nicht notwendig, wer aufs Outlook will hat hier seinen Arbeitsplatz und hat die reguläre Authentifizierung.
Geht hier ja dadrum: Das Mobilgerät z.B. nicht ungenügend abgesichert sind und diese müssen intern nicht über W-Lan gehen. Also vertretbar. =)
-
@intern
Was betrifft den Exchange Active Sync ? Hängen hier auch weitere Outlook Features ab ?
Würde hier per Powershell einen Skript in den Task packen, der generell AS für alle Benutzer deaktiviert (nächtlicher Task) und für die Ausnahmen freigibt.
Das stellt sicher das auch neue Mitarbeiter & Benutzer keinen Zugriff erhalten.
-
hey,
erstmal vielen dank für den Nachtrag der Informationen.
Im Zuge dessen würde ich gerne Exchange Active Sync & Outlook Anywhere einschränken, also definieren welche Windowskonten Active Sync/Outlook Anywhere nutzen dürfen.
Gibt es hier eine Möglichkeit? Das wäre wunderbar :)
Würde folgendes nicht reichen ?
$member_adsync| Set-CASMailbox –ActiveSyncEnabled $true
1. Active Sync im Exchange Aktivieren
2. Per Foreach global den Flag auf false & anschließend bei bestimmten konnten auf enable :)
geht das auch mit anywhere ?
-
@Günther
Na wenn ein Zugriff prinzipiell per MobileDevice geht, warum dann nicht auch per Outlook direkt-Aber nun ist es eingebrannt ;)
@OutlookAnywhere Sicherheit
Also der RPC Port 135 wird wohl mittlerweile nicht mehr direkt freigegeben sondern vie HTTPS getunnelt.
Da die Credentials über Https zwangsweise verschlüsselt werden ist das ja eine Verbesserung.
Nur habe ich immernoch den Hinweis gelesen, dass man bei Outlook Anywhere den TMG einsetzen sollte.
Outlook Anywhere ernsthaft trotz Https:// Verschlüsselung ein Sicherheitsrisiko da?
Mir ist durchaus bewusst, dass ein TMG eine feine Sache ist. Allerdings ist mir das gute Stück noch gänzlich unbekannt und hat infrastruktuelle Anforderungen (Rollenverteilung etc) um ein solides Sicherheitsmodell abzubilden.
-
Danke für deine Antwort Günther.
Bzgl. Sicherheit, ist ActiveSync unsicherer als Outlookanywhere ?
Zurzeit ist der CAS Server komplett blockiert (außer Port 443), müsste hier nich noch zusätzliche Ports aktiviert werden ?
Kann ich das Ganze nicht umgehen und womöglich per ActiveSync auf den Exchange per Outlook zugreifen
-
Hallo zusammen,
per Iphone & Android kann ich wunderbar auf mein Exchange Konto ohne VPN zugreifen.
Als Zugriffsserver gebe ich lediglich die öffentliche Adresse des CAS-Servers an und kann hier zugreifen (Https Port 443)
Wir setzen einen ExchangeServer 2010 (2 Rolen) ein und Outlook Anywhere ist aus Sicherheitsgründen deaktiviert.
Mit Outlook 2010 kann ich leider nicht zugreifen, ich habe bereits in der Option den Proxyserver eingetragen. Allerdings half das nicht.
Habe diese Anleitung verwendet:
Hier kam zwar ein Logindialog, aber abschließend eine Fehlermeldung, dass mit dem AD keine Verbindung aufgebaut werden kann.
Ich nehme an das Outlook hierfür auch "Outlook Anywhere" verwendet, die Anbindung per Smartphone läuft glaube ich über ActiveSync, wie kann ich das Ganze denn lösen ?
Google hat mir bis jetzt leider noch nicht geholfen - vielleicht auch weil ich nach den falschen Suchbegriffen geschaut habe.
Vielen Dank :)
-
Hallo Zusammen,
bei uns in der Firma benötigen wir den Zugriff per W-Lan auf bestimmte Systeme. Da dies meiner Meinung nach ein sehr sensibles Thema ist wollte ich mir bei euch nochmal fachmännischen Rat holen.
Leider ist das Budget hier begrenzt ~800-900€
Wir haben bei uns verschiedene Netzwerksegmente (1 IP Netz mit IP-Bereichen) für Entwicklungs und Produktivsysteme.
Mit den mobilen Endgeräten müssten wir auf die Entwicklungs & Internetverbindung zugreifen.
Zugriffe sind es vielleicht 3-6 parallel, mehr nicht.
Außerdem möchten wir Kunden & Gästen einen Internetzugang ermöglichen.
Zugang zu Entwicklungsumgebung:
a) Hier reicht eine WPA Authentifizierung nicht aus, welche Möglichkeiten habe ich hier. Eine Idee wäre ein Radius-Server, bin mir hier allerdings noch nicht sicher.
Am liebsten wäre mir ein professioneller Accesspoint mit zusätzlichen Sicherheitsfunktionen. Also WPA2, Macfilter (ist ja nur gering sicher) + zusätzliche Authentifizierung.
b)Die Accesspoints sollten bestmöglich in ein eigenes Subnetz kommen dass per ACLs keinen Zugriff auf unser Produktivsubnet bekommt.
Kundenzugang Gedanke:
Ich hatte nun gedacht dass Kunden & Gäste per W-Lan Router & einfachen WPA2 Kennwort auf sich anmelden.
Der W-Lan Router kommt mit einem eigenen Lan-Anschluss an unseren WAN-Router.
Im WAN-Router werden zugriffe zw. den Lan Ports deaktiviert, damit kein Zugriff auf unser Netz möglich ist.
Da man sich hier ziemlich viel "schustern" kann, wäre ich über vorallem auch "sinnvollere" Lösungsansätze sehr dankbar :)
Grüße
Jonathan
-
Hallo Zusammen,
bei uns hatten wir ein sporadische Problem.
Von einem Benutzer kamen die eMAils mit einer Verzögerung von ~1-2 Tagen beim Empfänger an.
Der Versand war intern, unsere Spamroutine wurde überprüft => lief im Bypass entsprechend wurde es auch nicht kontrolliert.
Gibt es eine Möglichkeit den Empfang/Versnad im Exchange Server zu protokollieren, die vorhandenen Protokolle gaben mir kein Aufschluss ob und wann eine eMail versand wurde.
Kann ich das so einfach einschalten, oder temporär einen Überwachungsmodus aktivieren?
Danke :)
-
Danke für die Info.
Habe die Installation erst einmal abgebrochen.
Das Setup auf dem CAS Server meldet den Fehler: IIS 64Bit Modus erforderlich.
Kann man diesen auf 64bit fürs SP1 setzen und anschließend wieder umstellen ?
Habe mehrere 32Bit Webanwendungen, daher die Frage :)
Powershell GET-ADUser Problem nur mit eMail Filtern ?
in Windows Forum — Scripting
Geschrieben
du bist klasse, dank dir :)
Ich habe im Technet & google nach einer Lösung und es ist so einfach.
Das Attribut heißt "mail", wieso verwendet der Filter wiederrum einen andern Bezeichner -.- ???
PS ist ja wirklich ein Komfort, aber man sucht zwischenzeitlich ewig nach solchen Kleinigkeiten.