Jump to content

Suchen nach "Member of"

Bakemono

Von Bakemono
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Bakemono Enthusiast

Bakemono   10

Geschrieben
Geschrieben

Hallo,

 

ich sitze hier vor meinem Win2000 Rechner in einer 2003er Domäne. Wir haben sehr viele Berechtigungen mittels Gruppen verteilt. Nun möchte ich in sehr verschachtelten Gruppen Mitgliedschaften finden.

 

Eine Suche auf der OU

Benutzer - Weitere - Benutzer - Mitgliedschaft von - Vorhanden - <String>

zeigt keine Ergebnisse.

 

Mit dem Sysinternals ADExplorer gleiches. Auch wenn ich in beiden Fällen * verwende.

 

Ich konnte noch nicht testen wie es mit dsget aussieht. Wird an einem XP Rechner

 

dsget group "CN=<string>, OU=Gruppen, OU=UAbt, OU=Abt, DC=AAAA, DC=BBBB, DC=CCCC, DC=local" -memberof -expand -l > file.txt

 

mir eine Liste der Gruppen mit verschachtelten Mitgliedschaften angeben? Und kann ich den Suchebegriff mit * einfassen?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.790

Geschrieben
Geschrieben

Moin,

 

mir ist nicht ganz klar, was du genau finden willst. Bitte erklär das noch mal genauer.

 

Grundsätzlich kannst du sowohl in den Feldern "memberOf" als auch "member" suchen, dabei musst du aber den DN des Objekts angeben, also z.B. "CN=MeineGruppe,OU=Gruppen,DC=AD2008,DC=faq-o-matic,DC=net".

 

Als generelle Empfehlung sollte man Gruppenmitgliedschaften nicht zu sehr verschachteln. Bei mehr als zwei Ebenen wird es sehr schnell unhandlich.

 

Gruß, Nils

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

Wird an einem XP Rechner

dsget group "CN=<string>, OU=Gruppen, OU=UAbt, OU=Abt, DC=AAAA, DC=BBBB, DC=CCCC, DC=local" -memberof -expand -l > file.txt

 

mir eine Liste der Gruppen mit verschachtelten Mitgliedschaften angeben? Und kann ich den Suchebegriff mit * einfassen?

 

Mit dem Befehl "DSGET GROUP „CN=<Gruppenname>,CN=Users,DC=intra,DC=dikmenoglu,DC=de“ -members -expand" werden dir alle Mitglieder, samt den verschachtelten Mitgliedern der angegebenen Gruppe angezeigt.

 

LDAP://Yusufs.Directory.Blog/ - Active Directory - Abfrage

 

Und kann ich den Suchebegriff mit * einfassen?

 

Nein, nicht bei DSGET.

Link zu diesem Kommentar
Bakemono Enthusiast

Bakemono   10

Geschrieben
  • Autor
Geschrieben

Bei Yusuf wurde ich nicht so fündig wie ich mir das Problem "denke". Aber da kann ich mich ja gedanklich verhaspelt haben.

 

Ich versuch das mal hier aufzumalen.

 

Personenkonten sind Mitglieder in Gruppen für Zugriffe auf Verzeichnisse der Abteilungen.

 

Abt1 hat Gruppen für Zugriffe auf Verzeichnisse in Abt1

CN1.1, OU1, OU1, DC, DC... <Unterabteilung 1 in Abteilung 1>

CN1.2, OU2, OU1, DC, DC... <Unterabteilung 2 in Abteilung 1>

CN1.3, OU3, OU1, DC, DC... <Unterabteilung 3 in Abteilung 1>

 

Abt2 hat Gruppen für Zugriffe auf Verzeichnisse in Abt2

CN2.1, OU1, OU2, DC, DC... <Unterabteilung 1 in Abteilung 2>

CN2.2, OU2, OU2, DC, DC...

CN2.3, OU3, OU2, DC, DC...

 

CNx.y (globale Sicherheitsgruppe) regelt die Zugriffsrechte auf NTFS Ebene.

 

 

Den Personenkonten sind nun die entsprechenden CNs zugewiesen.

Nutzer1 ist Mitglied von CN2.2 und kann auf der Verzeichnis der UA2 in 2 zugreifen.

 

Es gibt aber auch Fälle das zB CN2.2 ein "Mitglied von" CN1.3 ist. Für den Nutzer1 heisst das nun er kann auf das Verzeichnis Unterabteilung2 in Abteilung 2 zugreifen UND, durch Verschachtelung, auf UA1 in 3.

 

Ich muss herausfinden in welchen Gruppen zB CN1.2 überall "Mitglied von" ist. Wenn ich mit dsget keinen Joker nutzen kann kann ich das auch händisch machen in dem ich jede Gruppe öffne und anschaue. Über die Suche auf der OU bekomme ich die entsprechende Antworten auch nicht. Wie ich auf der OU gesucht habe steht oben. Habe ich da einen falschen Parameter gewählt?

 

Ich hoffe mein "Gedankengemälde" ist verständlich.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.790

Geschrieben
Geschrieben

Moin,

 

die Information, die du suchst, steht im AD-Attribut tokenGroups.

 

How to enumerate a user's security group membership using Visual Basic or Visual Basic Script

Group Membership Tests

 

Vielleicht kannst du das mit AdFind auch direkt machen, schau mal nach:

joeware – never stop exploring… Blog Archive Does this excite anyone? AdFind V01.40.00 sneak peek…

AdFind

 

Im Übrigen ist dein Gruppenkonzept suboptimal. Besser wäre hier das A-G-DL-P-Prinzip, über das die Boardsuche dir einiges sagen sollte.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...