Jump to content

Powershell LDAP Abfrage - Mitglieder einer Gruppe


Direkt zur Lösung Gelöst von blub,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich glaube ich habe mal wieder ein Brett vorm Kopf.

Ich möchte ein Script bauen, um aus dem fremden AD Forest (kein Trust) die Mitglieder einer Gruppe auszulesen und dann deren Attribute (Name, E-Mail Adresse etc,) auslesen.

Es muss auch per LDAP abgefragt werden, weil sonst keine weiteren Firewall Ports offen sind...

 

Ziel des Scripts soll es sein, die Mitglieder als E-Mail Kontakte im Exchange einzupflegen.

 

Bisher habe ich folgende Zeilen, die mir die Mitglieder der Gruppe ausgeben (als CN):

$conn = "LDAP://corp.contoso.com:389/ou=user,ou=contoso,dc=corp,dc=contoso,dc=com"
[ADSI] $RootDSE = $conn
[Object] $RootDomain = New-ObjectSystem.DirectoryServices.DirectoryEntry($conn,"serviceuser@corp.contoso.com","hallowelt")
[Object] $Searcher = New-Object System.DirectoryServices.DirectorySearcher
$Searcher.SearchRoot = $RootDomain
$Searcher.PageSize = 1000

$filter="(&(objectClass=group)(cn=$group))"

$Searcher.Filter=$filter

$result=$Searcher.FindOne()
$members = $result.Properties.Item("member")
$members

Als Ausgabe erfolgt dann:

CN=Frank Frankenstein,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Horst Vomwalde,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Udo Lindernberg,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Bert Wollersheim,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com

Alle Mitglieder dieser Gruppe werden ausgegeben.

Soweit alles gut.

Nur weiß ich jetzt nicht weiter, wie ich die Attribute der einzelnen Mitglieder auslesen kann und z.b. in eine CSV exportieren kann.

 

Habt ihr eine Idee?

 

Grüße Harald

Link zu diesem Kommentar

Moin,

 

kann man so machen - aber wenn ihr sowieso mit einem CSV arbeitet, warum exportiert ihr die Daten nicht einfach an der Quelle? Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

 

Gruß, Nils

Hallo Nils,

 

ja, mit dem Export an der Quelle stimme ich dir vollkommen zu. Aber manchmal kann man nicht immer so wie wir die IT es gerne möchte (Stichwort Politik...)

Im produktiven Script ist das Kennwort natürlich verschlüsselt abgelegt... Was natürlich nicht bedeutet, dass man es von dort aus nicht auch wieder entschlüsseln kann...

 

Ich danke dir trotzdem für deine Hinweise.

Danke blub für deinen Hinweis.

Das war der Tipp den ich bräuchte

Link zu diesem Kommentar

Moin,

 

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

 

wie - und so ein Satz von dir? :D

 

Ein Kennwort gehört nicht in ein Skript. Auch nicht verschleiert. Und auch nicht, wenn der User aufs AD "nur" Leserechte hat.

 

Wenn ein CSV-Export erzeugt wird, klingt das für mich nach einer einmaligen Sache. Auch wenn dafür ein Remotezugriff nötig ist, braucht das Kennwort für sowas nicht im Skript zu stehen - man könnte es bei der Skriptausführung anfordern und gesichert übergeben.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...