TechTech

Hallo Liebe Communitiy

Ich will mir ein Script basteln, welches den Hersteller des Systems ausliest und wenn es z.B. Fujitsu ist, soll etwas ausgeführt werden.

Folgendes Habe ich bereits erreicht:

$Hersteller = Get-ComputerInfo -Property "CsManufacturer" | Format-Table -HideTableHeaders

Somit habe ich in der Variable Hersteller den Hersteller stehen. (Allerdings mit einer vorangehenden Leerzeile. Ist diese hier vllt. sogar das Problem?)

Nun will ich es in einer IF Schleife verknüpfen.

IF ($Hersteller -like "*FUJITSU")
{
    Write-Output "hat geklappt"
}
else {
    Write-Output "looooser"
}

In der IF Anweisung habe ich es bereits mit mehreren Vergleichsoperatoren (-eq, -like, etc) versucht. Alle haben nicht geklappt.

Er springt immer in die else anweisung.

Kann mit jmd. sagen was der Fehler ist?

Am 27.9.2019 um 11:05 schrieb Sunny61:

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Habe es getestet und die Gruppenzugehörigkeiten werden auf beiden DCs angezeigt.

vor 10 Stunden schrieb daabm:

dsquery user -samid <Accountname> | dsget user -memberof -expand 

Access Token gibt es in einer funktionierenden AD-Umgebung nicht, das heißt inzwischen Ticket granting ticket

http://technet.microsoft.com/library/cc772815.aspx

"klist purge" macht vermutlich, was Du möchtest.

 

Danke für die Info.

"klist purge" habe ich bereits ausgeführt. Dieser Befehl löscht meine TGTs und werden dann bei neuanmeldung neu erstellt (diese Erklärung habe ich im Internet gefunden). Leider hatte dies auch nicht funktioniert.

Momentan hat er die Gruppezugehörigkeit nach ca. 3 tagen übernommen gehabt. Kann es sein, dass dies so lange dauert?

vor 7 Stunden schrieb Sunny61:

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Das werde ich morgen einmal testen! Mal schauen was dabei raus kommt. Danke

vor 3 Stunden schrieb tesso:

Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet?

Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

Wir haben so gut wie keine Gruppen in gruppen..... Ist alles eine sehr verworrene und verwachsene Struktur. 

Ich werde aber auch morgen hier mal im log nachsehen, ob ich darüber etwas finde. 

Ich gebe wieder Bescheid! Danke für eure tipps. 

Noch kurze frage: gibt es eine möglichkeit das Access token manuell zu erneuern ohne abmelden/anmelden? Oder ist dies immer schwierig? 

Die Replikation läuft alles. Habe dazu das Windows Tool AD Replication Status Tool. Und sonst treten auch keine Fehler auf bei der Replikation (zumindest nicht das ich davon erfahren habe)

Hatte ich bereits geprüft und es wird auf beiden DCs korrekt angezeigt.

Ja haben alle eine Verbindung zu den DCs.

(User 1 war am DC2 angemeldet und die Gruppenzugehörigkeit hat nicht gestimmt. Und User 3 war am DC1 und da passte es auch nicht.)

Das ist unterschiedlich. Ich habe es bei mehreren Usern getestet:

- User 1: 40 Gruppen

- User 2: 21 Gruppen

- User 3: 17 Gruppen

- User 4: 23 Gruppen

Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort.

Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei.

Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token?

Hallo

Wir haben ein Problem mit unserer Gruppenzuteilung im AD

Folgendes:

Ich habe eine neue Gruppe (Sicherheitsgruppe Global) erstellt und dieser Gruppe einen Benutzer zugewiesen (an dieser Gruppe hängt auch per Zielgruppenadressierung eine GPO nur zur Info). Ich habe den Rechner vom Benutzer 3 mal neugestartet und auch jedesmal eine Anmeldung des entsprechenden Benutzers durchgeführt.

Via gpresult -r wird mir die neu zugewiesene Gruppe nicht mit angezeigt (logischerweise greift dann auch die GPO nicht). Bei Whoami /group wird sie angezeigt.

Ebenfalls habe ich den benutzer aus einer Gruppe rausgenommen und diese wird ebenfalls unter gpresult noch angezeigt.

Ich schätze es hat irgend etwas mit einem gecachten Access Token zu tun. Habe auch bereits via Google Lösungen zu finden allerdings wird dort immer noch von neustarten/abmelden-anmelden geredet, was hier leider nicht funktioniert hat.

Den Kerberos Ticket cache mit klist purge habe ichauch bereits gelöscht. Hatte auch nicht geholfen.

Hat jmd. eine Idee wie ich das Problem lösen kann? Wäre für jede Hilfe dankbar.

Infos zu dem System:

- sind ganz normale Client Systeme ohne spezial Config

- Domänenfunktionsebene ist WIndows Server 2012