Kuddel071089
-
Gesamte Inhalte
559 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Kuddel071089
-
-
Hallo zusammen,
ich habe mir ein Powershell-Skript geschrieben welches den Mail-Account deaktiviert.
Jetzt ist mir aufgefallen, dass der AD User trotzdem noch Mitglied in Distributiongroups (Verteilern) ist.
Dementsprechend müssen im Script noch alle Verteiler entfernt werden.
Da jeder User aber unterschiedliche Verteiler hat, kann ich die logischerweise nicht im Script angeben.
Somit funktioniert folgender Befehl nicht
#Remove-ADGroupMember "Beispiel-Verteiler" -Member $username -Confirm:$false
Da alle Verteiler in einer OU liegen, müsste ich beim Remove-Befehl irgenbdwie sagen können, dass er alle Gruppen mit dem DN "*Distribution*" entfernen soll.
Hat jemand eine Idee wie ich das anstellen kann ?
Vielen Dank schon einmal
-
Ist der Lync Server in der gleichen Domäne wie der Exchange Server?
ja ist er
-
Habe es dann doch fast sleber hinbekommen
Fall 1
$s1_users = Get-ADUser -Filter * -properties memberof -SearchBase "OU=User,OU=S1,DC=DOMAIN,DC=local" | Where-Object {!($_.memberof -like "*DATAS1-S2*") -and ($_.memberof -like "*OU=Group,OU=S2,*")} | Select SamAccountName ForEach($user in $s1_users) { Write-Host -ForegroundColor RED "Folgende User werden DATAS1-S2 hinzugefügt: $($user.SamAccountName)" Add-ADGroupMember "DATAS1-S2" -Member $($user.SamAccountName) }
Fall 2
$s1_users = Get-ADUser -Filter * -properties memberof -SearchBase "OU=User,OU=S1,DC=DOMAIN,DC=local" | Where-Object {($_.memberof -like "*DATAS1-S2*") -and !($_.memberof -like "*OU=Group,OU=S2,*")} | Select SamAccountName ForEach($user in $cta_users) { Write-Host -ForegroundColor RED "Folgende User werden aus DATAS1-S2 entfernt: $($user.SamAccountName)" #sleep 2 Remove-ADGroupMember DATAS1-S2 -Member $($user.SamAccountName) -Confirm:$false }
Ich muss jetzt nur noch bestimmt Gruppen ausschließen können, die nicht mit betrachter werden sollen.
$s1_users = Get-ADUser -Filter * -properties memberof -SearchBase "OU=User,OU=S1,DC=DOMAIN,DC=local" | Where-Object {!($_.memberof -like "*DATAS1-S2*") -and ($_.memberof -like "*OU=Group,OU=S2,*")} -Where GroupName -notlike "FTP*" | Select SamAccountName ForEach($user in $s1_users) { Write-Host -ForegroundColor RED "Folgende User werden DATAS1-S2 hinzugefügt: $($user.SamAccountName)" Add-ADGroupMember "DATAS1-S2" -Member $($user.SamAccountName) }
-
Moin,
in solchen Fällen wäre es sinnvoll, wenn du deine konkrete Frage formulierst. In diesem Thread ist es etwas aufwändig herauszufinden, was denn jetzt "dein Problem" sein könnte.
Ich nehme an, es geht um die Berechtigungen beim Verschieben. Ein Workaround wäre, dass du nicht verschiebst, sondern kopierst und danach die Quelle löschst. In dem Fall hast du immer dasselbe Verhalten, unabhängig, um welche Partition es geht.
Gruß, Nils
Hallo Nils,
wäre natürlich ein Workaround, aber ich glaube nicht, dass sich alle unser 3500 User daran halten. Also word das Problem leider immer wieder auftreten
-
Hallo zusammen,
bei uns wird der standortübgreifende Filezugriff über gruppen geregelt.
D.h.:
Zugriff am eigenen Standort= Mitlgied in der Gruppe "Alle-Standort"
Zugriff am fremden Standort = Mitglied in der Gruppe "DATAEigenerStandort-Fremndstandort"
Ob das ganze jetzt alles korrekt eingerichtet ist, möchte ich regelmäßig per Skript prüfen. Ob jeder, der die DATA-Gruppe hat, sie auch noch benötigt, oder ob sie jmd. fehlt.
Ich habe auch schon eine erste Abfrage erstellt:
Die Abfrage zeigt mir an, wer Zugriff auf irgendein Verzeichnis mit dem DN "*OU=S2*" Zugriff hat und Mitglied in der Gruppe "*CN=DATAS1-S2*" ist.
D.h. bei all diesen Usern sind die Einstellungen korrekt.
$s1_users = Get-ADUser -Filter * -SearchBase "OU=User,OU=S1,OU=hhla,DC=DOMAIN,DC=local" | sort | select SamAccountName ForEach($user in $s1_users) { if ((Get-ADUser $user.SamAccountName -Properties memberof).memberof -like "*OU=S2*" -and (Get-ADUser $user.SamAccountName -Properties memberof).memberof -like "*CN=DATAS1-S2*") {Write-Host -ForegroundColor Green "$($user.SamAccountName) hat Zugriff auf Daten am Standort 2" } }
Ich scheitere gerade an den Abfragen nach fehlerhaften Einstellungen.
Sprich ein User hat keinen Zugriff mehr auf irgendein Verzeichnis mit dem DN "*OU=S2*" aber ist noch Mitglied in der Gruppe "*CN=DATAS1-S2*".
Oder ein User hat Zugriff auf irgendein Verzeichnis mit dem DN "*OU=S2*", ist aber kein mitglied der in der Gruppe "*CN=DATAS1-S2*".
Ich hoffe es ist einigermaßen verständlich was ich hier geschrieben habe.
Falls nicht, einfach fragen.
Vielen Dank schon einmal
-
Hat schon jemand ein Idee wie man mein problem lösen kann ?
Mit icals mit ich nicht wirklich zu einer Lösung gekommen
-
Von welchem Rechner kommen die Anmeldeversuche?
Noch eine gespeicherte Anmeldung in password2?
Im Netlogon sieht man immer einen Rechner, aber immer erst wenn der User schon gesperrt ist.
Dieser PC wurde bereits komplett neu installiert
-
Hallo zusammen,
ich hoffe ich habe das richtige Forum erwischt. Falls nicht, bitte verschieben.
Wir haben einen Terminalserver, auf dem alle Admin-Konsolen etc installiert sind.
Von diesem Server aus wird so gut wie alles administriert.
Jetzt wollte ich mir ein paar Lync-Powershell Skripte schreiben und sie von unserem Admin-Server ausführen.
Problem 1:
Ich muss immer einen User angeben. Bei Exchange geht es auch ohne
Exchange:
$ExSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://NTS606/powershell Import-PSSession $ExSession
Lync:
$credential = get-credential "DOMAIN\$env:USERNAME" $sessionoption = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck $session = New-PSSession -ConnectionUri https://vnts409.DOMAIN/ocspowershell -Credential $credential -SessionOption $sessionOption import-pssession $session
Problem 2:
Die Ausgabe auf dem Admin-Server ist unsortiert, auf dem Lync Server selber wird die Ausgabe soritert dargestellt, obwohl es immer der selbe Befehl ist
Get-CsAdUser -Filter {Enabled -ne "True"} | Sort | Select SamAccountName, Name | FT
Hat jemand eine Idee für meine beiden Problemchen ?
Danke schon einmal
-
OK. das sieht dan aber für mich eher aus, das es an User leigt! Hast du dem User schonmal ein neues Profil verpasst? Gruß Nico
Kein User-Loginscript, keine Roaming-Profiles, keine Tasks aktiv
-
und wenn sich ein andere User dem Client anmeldet, wird dieser dann auch gesperrt und?
wenn sich ein anderer User an dem besagten Client (der bereits neu installiert wurde) anmeldet, passiert nichts. Sprich der User kann normal arbeiten
-
Hy,
mal ne ganze andere Frage es passiert nur bei einem User??
hat sich an den betroffenen Clients schonmal ein anderer User angemeldet, passiert es da auch das de Account gesperrt wird?
Gruß Nico
Ja es passiert immer bei dem gleichen User
-
Wenn du zwei vom Netz nimmst und das Konto ist trotzdem gesperrt, gibt es wohl mindestens eine weitere Quelle. Und die mußt du auch finden.
Gibt es auf den DCs irgendeine Möglichkeit den Cient zu finden ?
Denn für die Clients ist eine andere Abteilung zuständig und der User sitzt auch noch an einem anderen Standort
-
Da schau an. Und das sollte man dann doch eigentlich auch im Log finden. ;)
Die beiden Client finde ich ja auch im Log. Aber auf beiden wurde der PW Safe bereits gelöscht
-
Und was sagt dir das dann? ;)
Das auf dem 2. Client auch noch Credentials hinterlegt sind.
Aber wenn der auch nicht aktiv war und der Account trotzdem gesperrt wurde, muss es ja noch einen dritten Client geben
-
Nein, das bedeutet es nicht. Kann bspw. noch ein Service sein. ;)
wenn der user nicht angemeldet ist, steht dann im Log auch die selbe Workstation?
Im Log waren immer 2 verschiedene Clients zu sehen. Beide wurden gestern zeitlgleich vom Lan getrennt. Der Account wurde trotzdem gesperrt
-
Kein eigenes LW und kein SyncTool.
Der User war zum Test 30 Min nicht angemeldet an seinem Client.
Der Account wurde trotzdem gesperrt. Das heißt, dass die Quelle ein andere Client sein muss.
Der User behauptet aber natürlich, dass er sein PW nirgendwo anders eingegeben hat
-
Sowas wie den Passwort Tresor schon kontrolliert?
Wurde gelöscht.
Hat keinen Erfolg gebracht. Danach wurde der Client neu installiert.
Am einfachsten ist es glaube ich, wenn ich den User umbenenne... oder ?
-
Ist der DC nur DC, oder eventuell auch noch Exchange?
VNTS402 ist einer unsere 3 DCs
Exchange läuft auf 2 anderen Servern
-
naja dann eben Client mit "manuell" gemappten Laufwerk, Geplantem Task oder sonstwas. Schau halt mal nach ;)
Der CLient wurde gestern komplett neu installiert.
Die Laufwerke werden zentral per GPO gemappt.
Tasks sind auch nicht vorhanden
-
5x Lockout ist sowieso be....scheiden. Viel zu wenig und du siehst ja, wozu das führt. Ein idealer Mechanismus um den Admin zu beschäftigen und Leute "auszusperren". ich würd mal 50 setzen, denn dann erwischst du im Allgmeinen nur noch die Fehler und wirklichen "Brute Force" Versuche.
Und das sagt dir nix? Ich weiß ja nicht, wie eure Geräte heißen, klingt aber irgendwie nach PCs und Terminalserver. Letzteres wäre wohl eine vergessene Terminalsession mit einem alten Kennwort. ;)
Bye
Norbert
L7249-APBKW7 = Client vom Anwender
VNTS402 = DomainController
-
Der Benutzer kann nichts falsch eingeben und sich selbst dadurch sperren? Smartphone? Gruppenrichtlinien mit irgendeinem geplanten Task als Benutzereinstellung?
Unsere PW Regel besagt, dass der Account für 10 Minuten gesperrt wird, wenn 5 Mal das falsche PW eingegeben wurde.
Smartphone ist nicht im EInsatz und Task laufen auch nicht
-
Hallo zusammen,
wir haben derzeit das Problem, das ein User ständig gesperrt wird, da sich der User fehlerhaft an der Domäne authentifiziert hat.
Im Log der DomainController (Netlogon) sehe ich zwar eine Fehlermeldung von seinem Client, aber immer erst, sobald der User gesperrt ist.
02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Entered 02/12 08:13:25 [LOGON] [7860] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\Mustermann from L7249-APBKW7 (via VNTS402) Returns 0xC0000234
D.h. ich kann im Log die eigentliche Fehlerquelle der falschen Anmeldung nicht ausmachen.
Der o.g. Client wurde schon getauscht. Das Problem tritt leider weiterhin auf.
Hat jemand eine Idee, wie ich das Ganze lösen kann?
Vielen Dank schon einmal
-
Eine andere Frage ist, gibt es ein Backup der Homes, welches min. 30 Tage aufbewahrt wird? Wozu dann das Home dann nach 30 Tagen löschen?
Da wir sowohl eine DaSi (4 Wochen aufbewahrung) als auch Vorgängerversionen haben, ist es viel einfacher das Verzeichnis immer direkt mit zu löschen.
Für den Fall der Fälle müsste man dann halt das Verzeichnis wiederherstellen, aber das kommt nur selten vor
-
Hi,
prüfe doch einfach täglich mit einem Script welche User vor 30 Tagen deaktiviert wurden und lösche, sofern noch vorhanden, das User Verzeichnis.
Gruß
Jan
GIbt es im Userobjekt ein Attribut, woraus sich schließen lässt wann der User deaktiviert wurde?
PS: Gruppenmitglieschaften (Mailverteiler) entfernen
in Active Directory Forum
Geschrieben
Also eine Lösung habe ich schon mal gefunden, ich finde die aber nicht ganz so toll.
Mein Ansatz geht über den Exchangeserver. Sprich alle Verteiler werden nach der Adresse des User durchsucht und dieser dann entfernt.
Es funktioniert, dauert aber enie gewisse Zeit, da wirklich alle Verteiler geprüft werden. Da die Anzahl der Verteiler eher zunimmt als wneiger wird, heißt das also, dass die Zeit der Überprüfung auch mit ansteigt.
So hatte ich das eigentlich auch vor. Ich wollte in eine variavle alle Namen der Verteiler aus der OU "*Distribution* schreiben.
Für die Variable würde ich dann eine Schleife anwenden.
Leider scheitere ich an der Abfrage nach den Verteilern