none
Hilfestellung gesucht: Kommandozeilenbasiertes Ersetzen von Gruppenmitgliedschaften RRS feed

  • Frage

  • Hallo liebe Technet-Supporter,

    ich habe ein Anliegen, dass ich gerne mit euch teilen würde, da ich mich leider nicht imstande sehe, die Problemstellung alleine zu lösen. Zu meinem Nachteil gereicht mir wohl die Tatsache, dass ich weder in Sachen AD noch in Sachen Kommandozeile besonders fit bin - aber ich hoffe, das kommt noch!

    Aber erst einmal die Problemstellung selber ...
    In einem Test-AD, in dem ich arbeite, gibt es viele verschiedene OUs.
    In jeder dieser OUs sind unterschiedlich viele Benutzer vorhanden. Einige OUs sollen "umgerüstet" werden, was zur Folge hat, dass alle User in diesen jeweiligen OUs, die bestimmten Gruppen zugeordnet sind, statt einer bisherigen alten Gruppe einer neuen Gruppe zugeordnet werden.

    Ein Beispiel:
    Hans Meier hat als Gruppenmitgliedschaft u.a. "DHCP Users".
    Jetzt soll - automatisiert - jedes Vorkommen von "DHCP Users" gegen "DHCP Administrators" getauscht werden. Dasselbe gilt bspw. für das Vorkommen einer Gruppe "Users". Diese soll getauscht werden gegen eine Gruppe "Power Users". (wie gesagt - ein Beispiel).


    Um erst einmal alle Benutzer dieser OU herauszufinden, starte ich mit dem Aufruf:

    dsquery user OU=USERS2,OU=51111,OU=49,OU=TRANSFORMERS,DC=TRANSFORMERS,DC=NET

    Als Ergebnis werden mir dann alle sich in dieser OU befindlichen Benutzer angezeigt.

    Und ehrlich gesagt hört es dann auch schon auf mit der Fachkenntnis. Aber ich habe mir Gedanken gemacht, wie weiter vorzugehen ist, drehe mich aber am Ende womöglich umständlichst im Kreis.

    Meine Idee war:

    1. Alle Benutzer dieser OU herausfinden
    2. Alle gefundenen Benutzer dieser OU in eine Datei schreiben (mit dem obigen Befehl in einem Abwasch machbar)
    3. Die Datei mit einer Schleife zeilenweise durchlaufen
    4. Beim abarbeiten jeder Zeile die Gruppenzugehörigkeit prüfen (IF EXISTS ??)
    5. Bei Fund der Gruppe "DHCP Users" diese Gruppe löschen und im nächsten Schritt "DHCP Administrators" hinzufügen
    6. Bei Nicht-Fund diese Person überspringen

    Punkt 1 + 2: Check - das bekomme ich ja wie gesagt noch hin.
    Punkt 3: Leider überhaupt keine Ahnung, wie (und ob überhaupt) das geht!
    Punkt 4: Geht mit Punkt #3 einher
    Punkt 5: Immerhin weiß ich schon, wie man die Gruppenzugehörigkeit entfernt bzw. hinzufügt, siehe unten:

    dsmod group "CN=DHCP Users,CN=Users,DC=TRANSFORMERS,DC=net" -addmbr "CN=_TESTBENUZER,OU=Users,OU=51111,OU=49,OU=TRANSFORMERS,DC=TRANSFORMERS,DC=net"
    dsmod group "CN=DHCP Users,CN=Users,DC=TRANSFORMERS,DC=net" -rmmbr "CN=_TESTBENUZER,OU=Users,OU=51111,OU=49,OU=TRANSFORMERS,DC=TRANSFORMERS,DC=net"
    
    Punkt 6: Geht glaube ich automatisch

    Schlichtweg und kurz gesagt ergibt sich also daraus die Aufgabenstellung:
    Wie durchlaufe ich meine Ergebnisliste so, dass ich auch noch herausfinden kann, wo die Bedingung zutrifft und entsprechend die Gruppenzugehörigkeit ersetzen kann?

    Ich hoffe, meine Frage ist klar und verständlich. Falls nicht, ich bin gerne bereit, ein bisschen weiter auszuholen - sofern ich das kann. Ich danke schonmal im Voraus für jede Hilfe und Hilfestellung, die sich im Rahmen dieser Frage ergibt.

    Mit freundlichen Grüßen,
    T|F

    Dienstag, 30. Oktober 2012 16:03

Antworten

Alle Antworten


      • Alle gefundenen Benutzer dieser OU in eine Datei schreiben (mit dem obigen Befehl in einem Abwasch machbar)
      • Die Datei mit einer Schleife zeilenweise durchlaufen
      • Beim abarbeiten jeder Zeile die Gruppenzugehörigkeit prüfen (IF EXISTS ??)
      • Bei Fund der Gruppe "DHCP Users" diese Gruppe löschen und im nächsten Schritt "DHCP Administrators" hinzufügen
      • Bei Nicht-Fund diese Person überspringen



    Kennst Du Dich mit Excel ein wenig aus? Das eignet sich für so was recht gut ;-) Vor allem, wenn Du mit Formeln umgehen kannst (oder jemand kennst, der jemand kennt, der jemand .... der das kann)
    http://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/

    Und das kannst Du dann noch mit dem Input von csvde.exe füttern.
    http://www.faq-o-matic.net/2003/10/25/csvde-zum-import-und-export-von-ad-daten-nutzen/

    mfg Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 30. Oktober 2012 19:08
  • Hallo Martin, Hallo Matthias.

    erst einmal vielen Dank für diese sehr nützliche Links und Hilfe!
    Die Idee, Excel zu verwenden, hatte ich auch schon, ist aber leider nicht erlaubt bzw. in diesem Server-Umfeld gar nicht möglich, allerdings stimme ich Dir zu, dass sich Excel gerade in einer solchen Thematik als überaus nützlich erweisen kann. Ich habe es schon oft als Hilfsmittel verwendet, und sei es nur für ein schnelles "Auseinanderrupfen" und wieder Zusammensetzen von Daten, zur schnellen Umsortierung etc. - das, was die Seiten anbieten, war mir so auch noch gar nicht geläufig, daher "Daumen hoch" für diese Tips - vielen Dank!

    Besonderer Dank gebührt allerdings Matthias, denn mit seiner Hilfe konnte ich das Problem schlussendlich - genau wie vorgeschlagen - lösen!

    Ein bisschen bin ich natürlich auch froh, dass meine Idee sich nicht als Fehlschuss herausgestellt hat, und dass man diesen Weg mit dem Schreiben in Textdateien auch tatsächlich so gehen kann, aber bei der verschachtelten FOR-Schleife mit diesen "tokens" (ich weiß immer noch nicht, WIESO es eigentlich funktioniert!) hätte ich nicht von alleine weiter gewusst.

    Danke in diesem Zusammenhang natürlich auch für die passende Erklärung, in jedem Fall hat es mir auf diese Weise geholfen, die Prozesse an sich zu verstehen - und ich bin froh kapiert zu haben, wie das automatische Ändern der Gruppenzugehörigkeiten funktioniert. Hatte mir beim später beim Testen ein paar Pausen eingebaut, mit denen ich es dann schrittweise durchlaufen bin und auch die Textdateien zwischendrin kontrolliert habe ... also PERFEKT!

    Vielen Dank & noch einen sonnigen Freitag!
    T|F

    P.S.: Der Feiertag und andere Verpflichtungen führten zur erst sehr späten Antwort, sorry dafür :-|
    Freitag, 2. November 2012 08:02
  • Hallo,

    haben die Tipps weitergeholfen?

    Gruss,
    Raul

    Ja, alles super!

    Ich konnte leider nicht früher antworten, aber Danke der Nachfrage - ich hoffe, dass es auch anderen Fragenden hilft, so wie es mir geholfen hat.

    Freitag, 2. November 2012 08:04