Jump to content
Sign in to follow this  
kwakS

Powershell LDAP Abfrage - Mitglieder einer Gruppe

Recommended Posts

Hallo zusammen,

 

ich glaube ich habe mal wieder ein Brett vorm Kopf.

Ich möchte ein Script bauen, um aus dem fremden AD Forest (kein Trust) die Mitglieder einer Gruppe auszulesen und dann deren Attribute (Name, E-Mail Adresse etc,) auslesen.

Es muss auch per LDAP abgefragt werden, weil sonst keine weiteren Firewall Ports offen sind...

 

Ziel des Scripts soll es sein, die Mitglieder als E-Mail Kontakte im Exchange einzupflegen.

 

Bisher habe ich folgende Zeilen, die mir die Mitglieder der Gruppe ausgeben (als CN):

$conn = "LDAP://corp.contoso.com:389/ou=user,ou=contoso,dc=corp,dc=contoso,dc=com"
[ADSI] $RootDSE = $conn
[Object] $RootDomain = New-ObjectSystem.DirectoryServices.DirectoryEntry($conn,"serviceuser@corp.contoso.com","hallowelt")
[Object] $Searcher = New-Object System.DirectoryServices.DirectorySearcher
$Searcher.SearchRoot = $RootDomain
$Searcher.PageSize = 1000

$filter="(&(objectClass=group)(cn=$group))"

$Searcher.Filter=$filter

$result=$Searcher.FindOne()
$members = $result.Properties.Item("member")
$members

Als Ausgabe erfolgt dann:

CN=Frank Frankenstein,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Horst Vomwalde,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Udo Lindernberg,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com
CN=Bert Wollersheim,OU=user,OU=contoso,DC=corp,DC=contoso,DC=com

Alle Mitglieder dieser Gruppe werden ausgegeben.

Soweit alles gut.

Nur weiß ich jetzt nicht weiter, wie ich die Attribute der einzelnen Mitglieder auslesen kann und z.b. in eine CSV exportieren kann.

 

Habt ihr eine Idee?

 

Grüße Harald

Share this post


Link to post
Share on other sites

Moin,

 

kann man so machen - aber wenn ihr sowieso mit einem CSV arbeitet, warum exportiert ihr die Daten nicht einfach an der Quelle? Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Moin,

 

kann man so machen - aber wenn ihr sowieso mit einem CSV arbeitet, warum exportiert ihr die Daten nicht einfach an der Quelle? Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

 

Gruß, Nils

Hallo Nils,

 

ja, mit dem Export an der Quelle stimme ich dir vollkommen zu. Aber manchmal kann man nicht immer so wie wir die IT es gerne möchte (Stichwort Politik...)

Im produktiven Script ist das Kennwort natürlich verschlüsselt abgelegt... Was natürlich nicht bedeutet, dass man es von dort aus nicht auch wieder entschlüsseln kann...

 

Ich danke dir trotzdem für deine Hinweise.

Danke blub für deinen Hinweis.

Das war der Tipp den ich bräuchte

Share this post


Link to post
Share on other sites
Das ist viel einfacher, und ihr braucht keinen Useraccount, dessen Kennwort ihr in einem Skript im Klartext hinterlegt.

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

Share this post


Link to post
Share on other sites

Moin,

 

für das Auslesen von Userproperties braucht er im Normalfall ja nur lesende Dödeluser-rights. Das kann man noch verantworten.

 

wie - und so ein Satz von dir? :D

 

Ein Kennwort gehört nicht in ein Skript. Auch nicht verschleiert. Und auch nicht, wenn der User aufs AD "nur" Leserechte hat.

 

Wenn ein CSV-Export erzeugt wird, klingt das für mich nach einer einmaligen Sache. Auch wenn dafür ein Remotezugriff nötig ist, braucht das Kennwort für sowas nicht im Skript zu stehen - man könnte es bei der Skriptausführung anfordern und gesichert übergeben.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Moin,

 

Man soll immer fair bleiben und es den Angreifern auch nicht zu schwer machen smile.gif

 

da hast du natürlich Recht. Sehr sozial gedacht.

 

Gruß, Nils

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...