none
Gruppen werden Bei ADUser nicht angezeigt RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden
    Guten Tag zusammen,

    momentan haben wir Probleme mit dem auslesen der Gruppen von bestimmten Benutzern. Wir haben mehrere DCs in unserem Umfeld mit zwei OUs in denen die Benutzer angelegt werden. Ich befinde mich auf unserem Haupt-DC der ein Windows Server 2012 R2 und auf dem die PSVersion 5.1 installiert ist. 

    Bei einigen Benutzern kann ich alle Gruppen auslesen und bei vielen wird nur die primäre Gruppe angezeigt. 

    Z.b. in der OU1 sind Benutzer User1 und User2 angelegt. User3 und User4 befinden sich in der OU2.
    Bei User1 und User3 kann ich alle Gruppen auslesen, während ich bei User2 und User4 nur die Primäre Gruppe auslesen kann. Somit scheint das Problem OU und User unabhängig zu sein. 

    Folgende Befehle habe ich bereits getestet.
    Get-ADPrincipalGroupMembership USER | select name | sort name
    Get-ADuser USER -property MemberOf | % {$_.MemberOf | Get-ADGroup | select name | sort name}

    Leider habe ich keine Lösung für das Problem gefunden und würde mich über eure Hilfe freuen.

    Mit freundlichen Grüßen
    PieJey
    Montag, 10. Dezember 2018 15:49
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hallo PieJey und willkommen im Deutschen Microsoft Powershell Forum.

    Ist das wirklich der Powershellcode, den Ihr benutzt und mit dem Ihr Probleme habt? Kannst Du mal folgenden Codeschnipsel testen und dabei aber ausschließlich die entsprechenden Usernamen eintragen?

    $UserList = @(
    'User1',
    'User2',
    'User3',
    'User4'
)
Foreach($User in $UserList){
    Write-Host "`nUSer: $User"
    Get-ADPrincipalGroupMembership -Identity $User  |
        Select-Object -Property Name |
            Sort-Object -Property Name
}

    Wird Dir hiermit auch nur jeweils ein User aus jeder OU ausgegeben?

    Edit: Sollte das nicht Dein Original-Code sein - kannst Du uns den Original-Code zeigen? Eventuell hast Du ja einen kleinen Logikfehler drin.  ;-)

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''


    • Bearbeitet BOfH-666 Montag, 10. Dezember 2018 16:46
    Montag, 10. Dezember 2018 16:44
    |
  • Discussion
    Anmelden
    1
    Anmelden
    Die Gruppen, in denen die User sind, sind das die selben? Hintergrund: Die Primäre Gruppe ist ein direktes Attribut des Benutzers. Darf man den Benutzer lesen, darf man auch die Primäre Gruppe lesen. Die Mitgliedschaften sind nur ein Backlink zur Gruppe - deren "Members"-Attribut bestimmt die Mitglieder. Darf man die Gruppe nicht lesen, kriegt man beim Benutzer auch dessen Mitgliedschaften nicht. Könnte ich mir zumindest vorstellen, bin grad zu bequem zum Ausprobieren :-)

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Montag, 10. Dezember 2018 17:05
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo BOfH_666,

    ich danke erst ein mal für die nette Begrüßung. Leider funktioniert das Script auch nicht. User1 und User3 sind okay, während ich bei User2 und User4 wieder nur die Primäre Gruppe auslesen kann. Komischerweise ging es  noch vor 2/3 Monaten User4 (meinen eigenen Benutzer) über meinen Domain-Admin auszulesen mit den Gruppen. Verändert wurde jedoch an dem Benutzer, Gruppen und dem DC in der Zwischenzeit nichts.

    Da ich noch relativ neu in Powershell bin, suche ich mir das meiste Zeug aus dem Internet raus und versuche mir eigene Notizen zu machen, welcher Befehl was macht. 
    Import-Module ActiveDirectory 

Get-ADPrincipalGroupMembership User1 | select name | sort name #| export-csv -path C:\temp\User+Group.csv -UseCulture
#Sucht bestimmten ADUser und liest deren Gruppenmitgliedschaften aus | danach einen Export in eine CSV Datei
    Das ist das komplette Script, dass ich in der Powershell.ise verwende auf unserem DC und wie ich gerade meinte, funktionierte dieses auch problemlos.

    MfG
    PieJey
    Dienstag, 11. Dezember 2018 08:06
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo Herr Binder,

    User3 und User4 aus OU2 haben die gleiche Primäre Gruppe und befinden sich in den gleichen Gruppen. User4 ist mein eigener Account und User3 ist der Account meines Kollegen. Beide User und Gruppen darf man lesen. 

    Das Script hat vor 2/3 Monaten problemlos funktioniert bei meinem User4 Account, verändert wurde in der Zwischenzeit nichts, weder am DC, noch am Benutzer oder den Gruppen.


    MfG
    PieJey
    Dienstag, 11. Dezember 2018 08:16
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo Herr Binder,

    lol :-))

    Das Script hat vor 2/3 Monaten problemlos funktioniert bei meinem User4 Account, verändert wurde in der Zwischenzeit nichts, weder am DC, noch am Benutzer oder den Gruppen.
    Ja, wie immer.... Wie sehen die User denn aus, wenn Du die in dsa.msc anschaust? (Reiter "Mitglied von")

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 11. Dezember 2018 10:07
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Wie sehen die User denn aus, wenn Du die in dsa.msc anschaust? (Reiter "Mitglied von")

    Über dsa.msc werden mir alle Gruppen der User richtig angezeigt, hier gibt es keinerlei Probleme. Auch das hinzufügen oder entfernen der einzelnen globalen und lokalen Gruppen macht keine Probleme.   

    Allerdings sollen wir eine Excel Liste aller User mit Gruppen erstellen und momentan müssen wir die User alle einzeln auslesen und notieren, was wiederum sehr zeitaufwändig und umständlich ist. Deshalb hätte ich es gerne mit der Powershell gelöst, auch für zukünftige Anfragen. 

    MfG
    PieJey
    Dienstag, 11. Dezember 2018 10:50
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Verändert wurde jedoch an dem Benutzer, Gruppen und dem DC in der Zwischenzeit nichts.

    Das klingt unwahrscheinlich. Wenn sich nichts geändert hat, müsste es ja unverändert funktionieren. ;-)

    Da ich noch relativ neu in Powershell bin, ...

    Na das wäre doch jetzt die ideale Gelegenheit, sich die Grundlagen draufzuschaffen ... das kostet nur ein bissl Zeit ... sonst nix ... Microsoft Virtual Academy - Getting Started with Powershell.

    BTW: Bei einer halbswegs aktuellen Powershell-Version braucht man Module nicht explizit zu importieren. Seit Version 3.0 macht die Powershell das bei Bedarf automatisch. ;-)

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''


    • Bearbeitet BOfH-666 Dienstag, 11. Dezember 2018 11:05
    Dienstag, 11. Dezember 2018 11:04
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Dann fang doch mal mit den nackigen Daten an:

    Get-ADPrincipalGroupMembership USER
    # oder
    Get-ADuser USER -property MemberOf
    Was kommt dabei raus?

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 11. Dezember 2018 11:28
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo zusammen,

    ich habe nochmal ein wenig herumgespielt und dabei ist mir aufgefallen, dass wenn ich den Powershell Befehl über die anderen DCs absende, mir alle Gruppen der User2 und User4 angezeigt werden. 
    Get-ADPrincipalGroupMembership User4 -Server "DC2" | select name | sort name
    Ich vermute, dass es hier Replikationsfehler gibt. Ich werde dem nachgehen und nochmal schreiben, wenn ich den Fehler entdeckt habe. 

    Edit: Leider liegt es nicht an Replikationsfehler. Es werden keine Fehler angezeigt mit "repadmin /showrepl" und das AD Replication Satuts Tool zeigt auch keine an. Jetzt stellt sich mir die Frage, wieso die Powershell Abfrage nicht über unseren Haupt-DC funktioniert, bei allen anderen jedoch reibungslos.

    MfG
    PieJey 
    • Bearbeitet PieJey Dienstag, 11. Dezember 2018 14:35
    Dienstag, 11. Dezember 2018 13:41
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Moin,

    kann es sein, dass nicht auf jedem DC ein globaler Katalog ist?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 11. Dezember 2018 18:58
    |
  • Discussion
    Anmelden
    0
    Anmelden

    kann es sein, dass nicht auf jedem DC ein globaler Katalog ist?

    Jeder DC hat einen globalen Katalog. Auch der Zeitserver ist in Ordnung. 

    Edit: auch die Abfragen auf die GCs funktioniert einwandfrei.
    nslookup gc._msdcs.%Userdomain%

    • Bearbeitet PieJey Mittwoch, 12. Dezember 2018 09:28
    Mittwoch, 12. Dezember 2018 08:26
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo zusammen,

    ich habe noch einmal Rücksprache mit meinem Vorgesetzten gehalten und wir sind zum Entschluss gekommen, dass wir einen neuen DC mit physischer Hardware aufsetzen, der den jetzigen Rolleninhaber-DC ersetzen soll.

    Solange werde ich die temporäre Lösung verwenden, über die anderen DCs die Abfragen zu starten. 


    Ich danke euch allen nochmal allen für die Hilfe. 

    MfG
    PieJey
    Freitag, 14. Dezember 2018 05:57
    |