Kuddel071089

Also eine Lösung habe ich schon mal gefunden, ich finde die aber nicht ganz so toll.

Mein Ansatz geht über den Exchangeserver. Sprich alle Verteiler werden nach der Adresse des User durchsucht und dieser dann entfernt.

Es funktioniert, dauert aber enie gewisse Zeit, da wirklich alle Verteiler geprüft werden. Da die Anzahl der Verteiler eher zunimmt als wneiger wird, heißt das also, dass die Zeit der Überprüfung auch mit ansteigt.

$DGs= Get-DistributionGroup | where { (Get-DistributionGroupMember $_ | foreach {$_.PrimarySmtpAddress}) -contains "$username@xxx.de"}
foreach( $dg in $DGs){
Remove-DistributionGroupMember $dg -Member $username@xxx.de -Confirm:$false
}

Du müsstest doch auslesen können in welchen Gruppen der Account Mitglied ist.

So hatte ich das eigentlich auch vor. Ich wollte in eine variavle alle Namen der Verteiler aus der OU "*Distribution* schreiben.

Für die Variable würde ich dann eine Schleife anwenden.

Leider scheitere ich an der Abfrage nach den Verteilern

Hallo zusammen,

ich habe mir ein Powershell-Skript geschrieben welches den Mail-Account deaktiviert.

Jetzt ist mir aufgefallen, dass der AD User trotzdem noch Mitglied in Distributiongroups (Verteilern) ist.

Dementsprechend müssen im Script noch alle Verteiler entfernt werden.

Da jeder User aber unterschiedliche Verteiler hat, kann ich die logischerweise nicht im Script angeben.

Somit funktioniert folgender Befehl nicht

#Remove-ADGroupMember "Beispiel-Verteiler" -Member $username -Confirm:$false

Da alle Verteiler in einer OU liegen, müsste ich beim Remove-Befehl irgenbdwie sagen können, dass er alle Gruppen mit dem DN "*Distribution*" entfernen soll.

Hat jemand eine Idee wie ich das anstellen kann ?

Vielen Dank schon einmal

Ist der Lync Server in der gleichen Domäne wie der Exchange Server? 

ja ist er

Habe es dann doch fast sleber hinbekommen

Fall 1

$s1_users = Get-ADUser -Filter * -properties memberof -SearchBase "OU=User,OU=S1,DC=DOMAIN,DC=local" | Where-Object {!($_.memberof -like "*DATAS1-S2*") -and ($_.memberof -like "*OU=Group,OU=S2,*")} | Select SamAccountName

ForEach($user in $s1_users)
{
Write-Host -ForegroundColor RED "Folgende User werden DATAS1-S2 hinzugefügt: $($user.SamAccountName)"
Add-ADGroupMember "DATAS1-S2" -Member $($user.SamAccountName)
}

Fall 2

$s1_users = Get-ADUser -Filter * -properties memberof -SearchBase "OU=User,OU=S1,DC=DOMAIN,DC=local" | Where-Object {($_.memberof -like "*DATAS1-S2*") -and !($_.memberof -like "*OU=Group,OU=S2,*")} | Select SamAccountName



ForEach($user in $cta_users)

{

Write-Host -ForegroundColor RED "Folgende User werden aus DATAS1-S2 entfernt: $($user.SamAccountName)"

#sleep 2

Remove-ADGroupMember DATAS1-S2 -Member $($user.SamAccountName) -Confirm:$false

}

Ich muss jetzt nur noch bestimmt Gruppen ausschließen können, die nicht mit betrachter werden sollen.

$s1_users = Get-ADUser -Filter * -properties memberof -SearchBase "OU=User,OU=S1,DC=DOMAIN,DC=local" | Where-Object {!($_.memberof -like "*DATAS1-S2*") -and ($_.memberof -like "*OU=Group,OU=S2,*")} -Where GroupName -notlike "FTP*"  | Select SamAccountName



ForEach($user in $s1_users)

{

Write-Host -ForegroundColor RED "Folgende User werden DATAS1-S2 hinzugefügt: $($user.SamAccountName)"

Add-ADGroupMember "DATAS1-S2" -Member $($user.SamAccountName)

}

Moin,

 

 

in solchen Fällen wäre es sinnvoll, wenn du deine konkrete Frage formulierst. In diesem Thread ist es etwas aufwändig herauszufinden, was denn jetzt "dein Problem" sein könnte.

 

Ich nehme an, es geht um die Berechtigungen beim Verschieben. Ein Workaround wäre, dass du nicht verschiebst, sondern kopierst und danach die Quelle löschst. In dem Fall hast du immer dasselbe Verhalten, unabhängig, um welche Partition es geht.

 

Gruß, Nils

Hallo Nils,

wäre natürlich ein Workaround, aber ich glaube nicht, dass sich alle unser 3500 User daran halten. Also word das Problem leider immer wieder auftreten

Hallo zusammen,

bei uns wird der standortübgreifende Filezugriff über gruppen geregelt.

D.h.:

Zugriff am eigenen Standort= Mitlgied in der Gruppe "Alle-Standort"

Zugriff am fremden Standort = Mitglied in der Gruppe "DATAEigenerStandort-Fremndstandort"

Ob das ganze jetzt alles korrekt eingerichtet ist, möchte ich regelmäßig per Skript prüfen. Ob jeder, der die DATA-Gruppe hat, sie auch noch benötigt, oder ob sie jmd. fehlt.

Ich habe auch schon eine erste Abfrage erstellt:

Die Abfrage zeigt mir an, wer Zugriff auf irgendein Verzeichnis mit dem DN "*OU=S2*" Zugriff hat und Mitglied in der Gruppe "*CN=DATAS1-S2*" ist.

D.h. bei all diesen Usern sind die Einstellungen korrekt.

$s1_users = Get-ADUser -Filter * -SearchBase "OU=User,OU=S1,OU=hhla,DC=DOMAIN,DC=local" | sort | select SamAccountName

ForEach($user in $s1_users)
{
    if ((Get-ADUser $user.SamAccountName -Properties memberof).memberof -like "*OU=S2*" -and (Get-ADUser $user.SamAccountName -Properties memberof).memberof -like "*CN=DATAS1-S2*")
{Write-Host -ForegroundColor Green "$($user.SamAccountName) hat Zugriff auf Daten am Standort 2"
}
}

Ich scheitere gerade an den Abfragen nach fehlerhaften Einstellungen.

Sprich ein User hat keinen Zugriff mehr auf irgendein Verzeichnis mit dem DN "*OU=S2*" aber ist noch Mitglied in der Gruppe "*CN=DATAS1-S2*".

Oder ein User hat Zugriff auf irgendein Verzeichnis mit dem DN "*OU=S2*", ist aber kein mitglied der in der Gruppe "*CN=DATAS1-S2*".

Ich hoffe es ist einigermaßen verständlich was ich hier geschrieben habe.

Falls nicht, einfach fragen.

Vielen Dank schon einmal

Hat schon jemand ein Idee wie man mein problem lösen kann ?

Mit icals mit ich nicht wirklich zu einer Lösung gekommen

Von welchem Rechner kommen die Anmeldeversuche?

 

Noch eine gespeicherte Anmeldung in password2?

Im Netlogon sieht man immer einen Rechner, aber immer erst wenn der User schon gesperrt ist.

Dieser PC wurde bereits komplett neu installiert

Hallo zusammen,

ich hoffe ich habe das richtige Forum erwischt. Falls nicht, bitte verschieben.

Wir haben einen Terminalserver, auf dem alle Admin-Konsolen etc installiert sind.

Von diesem Server aus wird so gut wie alles administriert.

Jetzt wollte ich mir ein paar Lync-Powershell Skripte schreiben und sie von unserem Admin-Server ausführen.

Problem 1:

Ich muss immer einen User angeben. Bei Exchange geht es auch ohne

Exchange:

$ExSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://NTS606/powershell

Import-PSSession $ExSession

Lync:

$credential = get-credential "DOMAIN\$env:USERNAME"

$sessionoption = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck

$session = New-PSSession -ConnectionUri https://vnts409.DOMAIN/ocspowershell -Credential  $credential -SessionOption $sessionOption

import-pssession $session

Problem 2:

Die Ausgabe auf dem Admin-Server ist unsortiert, auf dem Lync Server selber wird die Ausgabe soritert dargestellt, obwohl es immer der selbe Befehl ist
 

Get-CsAdUser -Filter {Enabled -ne "True"} | Sort | Select SamAccountName, Name | FT

Hat jemand eine Idee für meine beiden Problemchen ?

Danke schon einmal

OK. das sieht dan aber für mich eher aus, das es an User leigt! Hast du dem User schonmal ein neues Profil verpasst? Gruß Nico

Kein User-Loginscript, keine Roaming-Profiles, keine Tasks aktiv

und wenn sich ein andere User dem Client anmeldet, wird dieser dann auch gesperrt und?

wenn sich ein anderer User an dem besagten Client (der bereits neu installiert wurde) anmeldet, passiert nichts. Sprich der User kann normal arbeiten

Hy,

 

mal ne ganze andere Frage es passiert nur bei einem User??

hat sich an den betroffenen Clients schonmal ein anderer User angemeldet, passiert es da auch das de Account gesperrt wird?

 

Gruß Nico

Ja es passiert immer bei dem gleichen User

Wenn du zwei vom Netz nimmst und das Konto ist trotzdem gesperrt, gibt es wohl mindestens eine weitere Quelle. Und die mußt du auch finden.

Gibt es auf den DCs irgendeine Möglichkeit den Cient zu finden ?

Denn für die Clients ist eine andere Abteilung zuständig und der User sitzt auch noch an einem anderen Standort

Da schau an. Und das sollte man dann doch eigentlich auch im Log finden. ;)

Die beiden Client finde ich ja auch im Log. Aber auf beiden wurde der PW Safe bereits gelöscht

Und was sagt dir das dann? ;)

Das auf dem 2. Client auch noch Credentials hinterlegt sind.

Aber wenn der auch nicht aktiv war und der Account trotzdem gesperrt wurde, muss es ja noch einen dritten Client geben

Nein, das bedeutet es nicht. Kann bspw. noch ein Service sein. ;)

wenn der user nicht angemeldet ist, steht dann im Log auch die selbe Workstation?

Im Log waren immer 2 verschiedene Clients zu sehen. Beide wurden gestern zeitlgleich vom Lan getrennt. Der Account wurde trotzdem gesperrt

Kein eigenes LW und kein SyncTool.

Der User war zum Test 30 Min nicht angemeldet an seinem Client.

Der Account wurde trotzdem gesperrt. Das heißt, dass die Quelle ein andere Client sein muss.

Der User behauptet aber natürlich, dass er sein PW nirgendwo anders eingegeben hat

Sowas wie den Passwort Tresor schon kontrolliert?

Wurde gelöscht.

Hat keinen Erfolg gebracht. Danach wurde der Client neu installiert.

Am einfachsten ist es glaube ich, wenn ich den User umbenenne... oder ?

Ist der DC nur DC, oder eventuell auch noch Exchange?

VNTS402 ist einer unsere 3 DCs

Exchange läuft auf 2 anderen Servern

naja dann eben Client mit "manuell" gemappten Laufwerk, Geplantem Task oder sonstwas. Schau halt mal nach ;)

Der CLient wurde gestern komplett neu installiert.

Die Laufwerke werden zentral per GPO gemappt.

Tasks sind auch nicht vorhanden

5x Lockout ist sowieso be....scheiden. Viel zu wenig und du siehst ja, wozu das führt. Ein idealer Mechanismus um den Admin zu beschäftigen und Leute "auszusperren". ich würd mal 50 setzen, denn dann erwischst du im Allgmeinen nur noch die Fehler und wirklichen "Brute Force" Versuche.

 

Und das sagt dir nix? Ich weiß ja nicht, wie eure Geräte heißen, klingt aber irgendwie nach PCs und Terminalserver. Letzteres wäre wohl eine vergessene Terminalsession mit einem alten Kennwort. ;)

 

Bye

Norbert

L7249-APBKW7 = Client vom Anwender

VNTS402 = DomainController

Der Benutzer kann nichts falsch eingeben und sich selbst dadurch sperren? Smartphone? Gruppenrichtlinien mit irgendeinem geplanten Task als Benutzereinstellung?

Unsere PW Regel besagt, dass der Account für 10 Minuten gesperrt wird, wenn 5 Mal das falsche PW eingegeben wurde.

Smartphone ist nicht im EInsatz und Task laufen auch nicht

Hallo zusammen,

wir haben derzeit das Problem, das ein User ständig gesperrt wird, da sich der User fehlerhaft an der Domäne authentifiziert hat.

Im Log der DomainController (Netlogon) sehe ich zwar eine Fehlermeldung von seinem Client, aber immer erst, sobald der User gesperrt ist.

02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Entered
02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Returns 0xC0000234

D.h. ich kann im Log die eigentliche Fehlerquelle der falschen Anmeldung nicht ausmachen.

Der o.g. Client wurde schon getauscht. Das Problem tritt leider weiterhin auf.

Hat jemand eine Idee, wie ich das Ganze lösen kann?
 

Vielen Dank schon einmal

Eine andere Frage ist, gibt es ein Backup der Homes, welches min. 30 Tage aufbewahrt wird? Wozu dann das Home dann nach 30 Tagen löschen?

Da wir sowohl eine DaSi (4 Wochen aufbewahrung) als auch Vorgängerversionen haben, ist es viel einfacher das Verzeichnis immer direkt mit zu löschen.

Für den Fall der Fälle müsste man dann halt das Verzeichnis wiederherstellen, aber das kommt nur selten vor

Hi,

 

prüfe doch einfach täglich mit einem Script welche User vor 30 Tagen deaktiviert wurden und lösche, sofern noch vorhanden, das User Verzeichnis.

 

Gruß

Jan

GIbt es im Userobjekt ein Attribut, woraus sich schließen lässt wann der User deaktiviert wurde?