Benutzer auslesen die nicht in Gruppe sind

[smigi 10]

Hallo liebes Forum!

 

Ich hätte da eine Frage.

 

Wie kann ich in PowerShell alle Benutzer einer Domain auslesen die sich nicht in einer Gruppe befinden.

 

Also alle Mitarbeiter ohne eine bestimmte gruppe.

 

Danke jetzt schon.

bearbeitet 22. Februar 2017 von smigi

[BOfH_666 586]

Hmmm ... da wirst Du wohl alle direkt einzeln prüfen müssen. Also "Get-ADUSer -Filter *" und dann in der Property "MemberOf" prüfen, ob die von Dir gesuchte Gruppe da ist bzw. nicht da ist.

[NilsK 3.045]

Moin,

 

Folgendes scheint zu funktionieren:

$Members = (Get-ADGroup 'Meine Gruppe' -Properties member).member
$Users = Get-ADUser -Filter *
Compare-Object -ReferenceObject $Users -DifferenceObject $Members | Where-Object {$_.SideIndicator -eq '<='}

Könnte allerdings bei einer sehr großen Domäne viel RAM brauchen.

 

Gruß, Nils

[smigi 10]

Danke. Das mit RAM ist keine Problem.

Allerdings ist die Gruppe in einer anderen Domäne.

Ich denke, zuerst müsste ich in die andere Domäne wechselen?

 

Ich befinde mich gerade in dev.test.local muss aber die user aus test.local auslesen.

 

 

Wenn ich dann die Gruppen-zugehörigkeit der Benutzer in einer CSV habe, könnte ich filtern. Oder?

 

 

@ Nils!

 

Nach:

 

$Members = (Get-ADGroup 'Meine Gruppe' -Properties member).member

 

bleibt die PS auf ">>" stehen.

 

Dauert das auslesen so lange?

Oder fehlt da noch etwas?

Wenn ich nach "member" filtern kann, kann ich nicht nach "no member" filetern?

bearbeitet 22. Februar 2017 von smigi

[NilsK 3.045]

Moin,

 

wenn du nachträglich wesentliche Parameter deiner Frage änderst, passen natürlich die Antworten nicht mehr ... es macht einen großen Unterschied, ob du die eigene oder eine andere Domäne abfragst.

 

Mein Codebeispiel filtert überhaupt nicht. Es geht mit dem Holzhammer hin und liest einmal alle AD-User und zum anderen alle Mitglieder der Gruppe aus. Diese beiden Objekte vergleicht es. Einen Filter "ist nicht Mitglied" gibt es nicht.

 

Was die Codezeile anbelangt, nach der du fragst: Nein, eigentlich müsste recht schnell der normale Prompt wieder erscheinen. Vermutlich hast du den Code aus dem Browser kopiert, dabei gehen manchmal die falschen Sonderzeichen rüber. Tipp das Kommando mal manuell ein, dann sollte es gehen.

 

Gruß, Nils

bearbeitet 22. Februar 2017 von NilsK

[smigi 10]

Hi Leute!

 

Habe folgendes zusammengesucht:

 

 

 Get-ADUser -Filter "-not (memberOf -eq 'CN=test_Mitarbeiter_team,CN=Verteiler,CN=_Exchange,CN=Zentrale

,DC=test,DC=local')" -server test.local  >C:\nogroup.csv

 

Bekomme dann auch ein CSV file mit allen Eigenschaften & Co.

 

Bräuchte aber nur die Namen.

 

Danke schön jetzt schon.

[s_sonnen 20]

Hi Michl.

 

Wenn Du schon so weit bist, ... Excel ist des Admin Freund.

Damit dürftest Du mit dem geringsten Aufwand Deine Namen extrahieren können.

 

ciao und 'nen angenehmen restlichen Mittwoch

M.

[smigi 10]

Danke.

Ja, Excel und filtern ist feine Sache.

Aber ich dachte es ginge schon bei der Abfrage.

 

Caio

[NilsK 3.045]

Moin,

 

oh, tatsächlich, dein Code scheint auch zu funktionieren. Ich hätte angenommen, dass das bei Multivalue-Feldern logisch nicht hinhaut.

 

Wenn du nur die Namen haben willst, dann häng noch

| ft name -HideTableHeaders

an.

 

Gruß, Nils