Jump to content

Recommended Posts

Servus zusammen,

 

ich habe eine Liste von AD-Sicherheitsgruppen, die nun auch Exchangeverteiler (Exchange 2010SP3 RU 28) werden sollen.

Die Gruppen habe ich alle schon auf "Universal" umgestellt.

Allerdings scheitere ich leider daran, die Gruppen über "Enable-Distributiongroup" so zu erstellen, das für den Wert "Identity" der Verteilergruppen z.B. der jeweilige SamAccountName des AD-Objekts pro Gruppe übernommen wird.

 

Sprich am Ende möchte ich, dass jeder Exchangeverteiler als "Identity" den SamAccountName des AD-Objekts hat.

Kann mir da jemand zufällig die korrekte Schleife nennen, wie ich das hinbekomme?

 

Ist bestimmt kein Hexenwerk, ich weiß. Aber ich freue mich über jede Hilfe! (:

 

Viele Grüße

Novo

 

 

Share this post


Link to post
Share on other sites

Hi,

 

was machst du denn derzeit mit den AD-Sicherheitsgruppen? Werden die für NTFS Berechtigungen bzw. "Berechtigungen" genutzt? Wenn dem so ist, würde ich für die Verteilung direkt neue bzw. reine Verteilergruppen anlegen.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Hallo Jan,

 

Danke für deine Antwort!

 

Nein, für NTFS-Berechtigungen werden diese Gruppen nicht verwendet.

Eine Applikation macht anhand dieser Gruppen LDAP-Abfragen, um die darin enthaltenen User für einen Login zu berechtigen.

Wir haben auch bereits eine dieser Gruppen manuell in einen Exchangeverteiler umgewandelt, um das Verhalten zu testen. Sprich, dass der Login noch funktioniert. Das war auch erfolgreich.

Da das aber eine erhebliche Anzahl an Gruppen ist - da dieser Login nach unterschiedlichen Mandanten getrennt ist - möchte ich jetzt natürlich nicht jede Gruppe einzeln anlegen.

 

Die Anforderung ist daher, dass die bestehenden Gruppen erhalten bleiben und zusätzlich in Zukunft Exchangeverteiler sind, damit man den Personenkreis über etwaige Störungen, etc. informieren kann.

 

Viele Grüße

Novo

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb Novo89:

Nein, für NTFS-Berechtigungen werden diese Gruppen nicht verwendet.

Wofür wurden/werden sie denn verwendet? Denn irgendeinen Grund muss es gegeben haben sie anzulegen. ;)

Share this post


Link to post
Share on other sites

Steht doch direkt dahinter wofür die Gruppen angelegt wurden bzw. da sind :grins1:

 

„Eine Applikation macht anhand dieser Gruppen LDAP-Abfragen, um die darin enthaltenen User für einen Login zu berechtigen.“

 

Wie gesagt: die Gruppen sollen bestehen bleiben und zusätzlich nun Verteiler werden. Wir brauchen nicht darüber spekulieren, wofür sie evtl. da waren oder sind. Das habe ich wie gesagt geschrieben und ist alles mit den betroffenen Kollegen abgeklärt :smile2::thumb1:

 

Ich würde mich freuen, wenn mir jemand mit dem entsprechenden Befehlen oder Scriptzeilen auf die Sprünge helfen könnte :cool:

Share this post


Link to post
Share on other sites

Vor diesem Hintergrund würde ich definitiv mit "Berechtigungs-Gruppen" den Login berechtigen und mit "Verteiler-Gruppen" E-Mails verteilen.

  • Was tun, wenn jemand keinen Login erhalten soll, aber eine Mail-Benachrichtung bekommen soll?
  • Was tun, wenn jemand einen Login hat, aber keine Benachrichtung will?

An der Stelle verstehe ich allerdings nicht was dich an dem Property bzw. dem Objekt / der Klasse "Identity" stört? Die Verteilergruppe hat doch bereits ein SamAccountName Property? Du wirst die Identity vermutlich auch nur bedingt mit "Set-DistributionGroup <alter Name> -Name <neuer Name> -Alias <neuer Name> -SamAccountName <neuer Name> -DisplayName <neuer Name>" ändern können.

Edited by testperson
  • Haha 1

Share this post


Link to post
Share on other sites

Ich danke dir für deine aufmerksamen Fragen und Bedenken, aber das ist schon alles so gewollt.

 

Alle User die in den Gruppen sind, sollen im Zweifelsfall benachrichtigt werden. Wir sprechen hier nicht über automatisierte Mails, sondern vom User HelpDesk manuell versendete Benachrichtigungen, falls der Service aktuell nicht vorhanden ist.

 

Das sollen entsprechend alle User bekommen. Gleichzeitig soll allen, die in den Gruppen sind, immer der Login möglich sein.

 

Ein Grund dafür, dass wir nicht zwei unterschiedliche Gruppen (Berechtigung und Mailversand) haben möchten ist mitunter, dass unser User HelpDesk auch die Pflege der Gruppen vornimmt. Hier soll jeweils immer nur eine Stelle und nicht zwei Stellen gepflegt werden.

 

An dieser Stelle also nochmal: wir brauchen darüber nicht reden :grins1:

 

Zu deiner anderen Frage:

 

Mein Problem ist, dass ich bei dem Befehl „Enable-Distributiongroup“ das Property „Identity“ übergeben muss. Ein „Set“ kann ich glaube ich gar nicht machen.

 

In der Regel ist bei unseren Verteilergruppen der SamAccountName identisch zum Alias. Daher würde ich gerne pro Gruppe in meiner Liste ein „Enable-Distributiongroup“ durchführen und pro Gruppe (als Beispiel) das Property des SamAccountName als Alias des Verteilers setzen.

Share this post


Link to post
Share on other sites
vor 8 Minuten schrieb NorbertFe:

Manche wollen eben alle Stolpersteine selbst erfahren. ;)

Ist ja nett, dass du immer solche Kommentare abgibst ;);););););););) ist aber leider weder

 

A) Hilfreich 

noch

B) Konstruktiv

 

;);););););););)

 

Hat nichts mit Stolperstein zu tun. So wie wir uns das wünschen, stellt das überhaupt kein Problem dar.

 

Weiteres dazu habe ich auch schon in meiner letzten Antwort geschrieben. Du kennst das Konstrukt ja überhaupt nicht. Also spar dir sowas.

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb Novo89:

Alle User die in den Gruppen sind, sollen im Zweifelsfall benachrichtigt werden. Wir sprechen hier nicht über automatisierte Mails, sondern vom User HelpDesk manuell versendete Benachrichtigungen, falls der Service aktuell nicht vorhanden ist.

Das würde ich bevorzugt automatisiert tun.

 

vor einer Stunde schrieb Novo89:

Ein Grund dafür, dass wir nicht zwei unterschiedliche Gruppen (Berechtigung und Mailversand) haben möchten ist mitunter, dass unser User HelpDesk auch die Pflege der Gruppen vornimmt. Hier soll jeweils immer nur eine Stelle und nicht zwei Stellen gepflegt werden.

Das würde ich ebenso automatisiert reledigen. Dann muss der HelpDesk nur ein Script ausführen / nur ein FrontEnd bedienen und automagisch zwei Gruppen erstellen.

 

vor einer Stunde schrieb Novo89:

In der Regel ist bei unseren Verteilergruppen der SamAccountName identisch zum Alias. Daher würde ich gerne pro Gruppe in meiner Liste ein „Enable-Distributiongroup“ durchführen und pro Gruppe (als Beispiel) das Property des SamAccountName als Alias des Verteilers setzen. 

Das verstehe ich immer noch nicht so ganz. Du könntest allerdings mit "Get-ADGroup" deine Gruppen auslesen und diese Stück für Stück per "foreach-Object" durchgehen und dann die Verteilergruppe "Enable-DistributionGroup" anhand des Name, DistinguishedName, CanonicalName oder der ObjectGUID der AD-Gruppe erstellen lassen.

 

P.S.: Ich habe / hatte* einige Kunden die (teilweise schmerzhaft) lernen mussten, dass man ihnen nichts böses mit seinen Ratschlägen will. Das heißt nicht, dass du hier mit einer Gruppe zwingend auf die Nase fallen wirst, allerdings würde ich definitiv zwei Gruppen bevorzugen und dem HelpDesk ein entsprechendes Script zur Anlage überlassen.

 

* Die jetzt kein Kunde mehr sind, fühlten sich übrigens im Nachhinein oft schlecht beraten und hatten plötzlich Gedächtnisschwund. ;)

Share this post


Link to post
Share on other sites

Moin,

 

ich habe keine Umgebung an der Hand, um das auszuprobieren. Der übliche Weg wäre aber, dass du dir mit einem Get-Befehl (vermutlich Get-ADGroup)  alle gewünschten Objekte in eine Variable lädst. Die kannst du dann z.B. mit foreach durchgehen und den jeweils gewünschten Wert mit $_.<Eigenschaft> an das Ziel-Cmdlet (also wohl Enable-DistributionGroup) übergeben.

 

Dass das organisatorische Folgen haben kann, ist hier ja schon diskutiert worden. Deine bisherigen Probleme bei der Umsetzung hast du bislang allerdings auch noch nicht beschrieben.Wenn es da zu Fehlern kommt, nenne es bitte genau.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...