none
Get-ADGroupMember liefert bei Verwendung von "-Recursive" keine Benutzer aus der Gruppe "Domain Users" RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo werte Kollegen,

    ich habe hier ein Problem mit dem CMDLet Get-AdGroupMember auf einem Windows Server 2008R2 DC.

    Beispiel:

    Ich habe eine Gruppe GruppeX welche weitere Gruppen und User beinhaltet. Wenn jedoch die Gruppe Domain Users Mitglied dieser Gruppe ist und ich alle Mitglieder der GruppeX mit 

    Get-ADGroupMember GruppeX -Recursive

    auflisten möchte, fehlen alle User aus der Gruppe Domain Users in der Auflistung?! Alle anderen Gruppen werden wie gewünscht in deren User aufgelöst.

    Das Verhalten kann ich auf mehreren Servern nachstellen,ist das ein normales Verhalten oder ein Bug ?

    Ich bedanke mich im voraus für Eure Aufklärung und Hilfestellung.

    Noch ein frohes neues Jahr nachträglich
    Grüße Uwe









    • Bearbeitet U333 Freitag, 2. Januar 2015 15:49
    • Verschoben Denniver ReiningMVP Freitag, 9. Januar 2015 14:49 Vielleicht weiss jier jemand die Antwort
    Freitag, 2. Januar 2015 15:04
    |

Antworten

  • Question
    Anmelden
    3
    Anmelden
    > auflisten möchte, fehlen alle User aus der Gruppe *Domain Users* in der
     
    Anmerkung: Domain Users hat "normalerweise" ja auch keine Mitglieder,
    sondern ist die Primäre Gruppe der User. Siehst Du, wenn Du Dir das
    member-Attribut mal anschaust - das ist <not set>.
     
    Das wird dann von den GUIs aufgelöst - in einem Skript mußt Du Dich
    möglicherweise selbst darum kümmern.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert U333 Mittwoch, 21. Januar 2015 18:40
    Mittwoch, 14. Januar 2015 16:07
    |

Alle Antworten

  • Question
    Anmelden
    3
    Anmelden

    Hallo U333!

    Ich habe zur Zeit kein AD "griffbereit", aber hier ist ein Thread in dem das selbe Phänomen diskutiert wird:

    http://community.spiceworks.com/topic/487473-recursive-query-in-active-directory

    PowerShell Artikel, Buchtipps und kostenlose PowerShell Tutorials + E-Books
    auf der deutschsprachigen PowerShell Community
    Mein 21 Teiliger PowerShell Video Grundlehrgang
    Deutsche PowerShell Videos auf Youtube
    Folge mir auf:
    Twitter | Facebook | Google+

    Freitag, 2. Januar 2015 15:55
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Peter,

    vielen Dank für deinen Link, hatte zum Thema überhaupt nichts gefunden. Werde das mal auf einem Server 2012 nachstellen ob es dort auch auftritt. Hier tritt der Fehler zumindest auf einem durchgepatchten 2008R2 mit aktueller PS auf.

    Ich frage für einen User der das selbe Problem hier geschildert hat:
    http://www.administrator.de/forum/powershell-active-directory-258817.html

    Grüße Uwe




    • Bearbeitet U333 Freitag, 2. Januar 2015 16:05
    Freitag, 2. Januar 2015 16:01
    |
  • Question
    Anmelden
    3
    Anmelden

    Hi,

    nach der TechNet-Beschreibung des CMDlets Get-ADGroupMember zu urteilen, ist das wohl ein beabsichtigtes Verhalten:

    Recursive

    Specifies that the cmdlet get all members in the hierarchy of a group that do not contain child objects. The following example shows a hierarchy for the group SaraDavisReports.

    D.h. umgekehrt werden keine Objekte (oder "Gruppen") zurückgegeben, die Unter-Objekte (Gruppenmitglieder) enthalten. Das hat also nichts mit der Domain Users-Gruppe zu tun, sondern trifft auf alle verschachtelten Gruppen zu.

    Irgendwie macht das auch Sinn, weil man ja normalerweise nur die direkten Mitglieder einer Gruppe wissen will, nicht auch noch deren Mitglieder. 

    Ich hab mal was ausprobiert, vielleicht hilft Dir das schon weiter?

    Get-ADGroupMember GruppeX | Get-ADGroupMember -Recursive
    Mit dem Befehl hat er mir alle Mitglieder der Gruppe ausgeschmissen.

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.


    • Bearbeitet Ben-neB Freitag, 2. Januar 2015 16:13
    Freitag, 2. Januar 2015 16:13
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Ben,

    den Umweg mit deinem Befehl kenne ich schon, danke trotzdem dafür. Obwohl du hier noch hättest nach Gruppen filtern müssen, denn bei Usern in der Gruppe läuft das dann auf einen Fehler ;-)und doppelte Einträge müssen natürlich auch raus.

    Den Workaround hatte ich auch schon im Link oben gepostet.

    Probier es mal aus, wenn du eine weitere GruppeY mit Usern in die GruppeX packst werden deren Mitglieder mit Recursive sehr wohl ausgegeben (dafür ist der ja da), nur eben nicht die der Domain Users Group ! Das verstehe wer will :-) Ich möchte nur wissen warum diese "spezielle" Gruppe hier einfach ausgelassen wird.

    Grüße Uwe

    Nachtrag: Unter Server 2012R2 tritt das selbe Verhalten auf. Anscheinend will das MS so haben, warum bleibt mir bisher ein Geheimnis ....













    • Bearbeitet U333 Freitag, 2. Januar 2015 16:39
    Freitag, 2. Januar 2015 16:21
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo Ben!

    Der U333 hat recht, dein Befehl gibt nicht die User aus die Direkt in der Gruppe sind, statt dessen bekommst du einene Fehler für jeden User.

    Das -Recursiv bei Get-ADGroupMember holt eigentlich alle User aus aus tiefer verschachtelten Gruppen.

    @U333 schön das du dich um einen User aus der deutschsprachigen PowerShell Community küümerst.

    (Die Seite wird von mir betrieben ;-) )

    PowerShell Artikel, Buchtipps und kostenlose PowerShell Tutorials + E-Books
    auf der deutschsprachigen PowerShell Community
    Mein 21 Teiliger PowerShell Video Grundlehrgang
    Deutsche PowerShell Videos auf Youtube
    Folge mir auf:
    Twitter | Facebook | Google+

    Freitag, 2. Januar 2015 16:35
    |
  • Question
    Anmelden
    0
    Anmelden
    Warum soll Domain Users überhaupt Mitglied dieser Gruppe sein?
    Samstag, 3. Januar 2015 12:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Warum soll Domain Users überhaupt Mitglied dieser Gruppe sein?

    Warum, das weiß ich nicht ... der User für den ich das recherchiere hat eben diesen Fall in dem diese Gruppe Mitglied ist, und ich suche einfach nur nach einer Erklärung für dieses Phänomen, keinen Workaround ! Es muss ja eine Erklärung dafür geben warum gerade diese Gruppe ausgeschlossen wird.

    Grüße Uwe


    • Bearbeitet U333 Samstag, 3. Januar 2015 12:45
    Samstag, 3. Januar 2015 12:44
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo zusammen,

    ich habe dieses Phänomen bei uns ebenfalls schon entdeckt - hatte mir dabei allerdings erstmal keine weiteren Gedanken gemacht. Wir dokumentieren per Powershell regelmäßig die Berechtigungen auf unseren Fileservern. Dort nutzen wir u.a. deshalb nicht mehr den Parameter "-recursive" sondern "pipen" das Ergebnis gefiltert auf Gruppen wieder in ein neues get-adgroupmember (wie von Ben-neB beschrieben).

    Ich habe mal versucht das bei mir in einer 2012 R2 und einer 2008 R2 Umgebung nach zustellen.

    Grundsätzlich funktioniert der Parameter "-recursive" so wie es soll. Zum Beispiel wenn ich andere Gruppen verschachtele aber auch wenn ich z.B. eine Gruppe aus "Users" zu einer Security Gruppe hinzufüge.

    Auf eine Abfrage auf "Domänen-Benutzer" bekomme ich bei mir in der 2012 R2 Umgebung leider nie eine Antwort weil diese scheinbar etwas zu viele Mitglieder hat "The size limit for this request was exceeded".

    In der 2008 R2 Umgebung kann ich das in den vorherigen Beiträgen geschilderte Verhalten nachvollziehen.

    Mich würde auch interessieren ob es Absicht ist, dass es bei der Gruppe Domänen-Benutzer nicht funktioniert und ob es unter Umständen weitere Gruppen mit diesem Verhalten gibt.


    • Bearbeitet heyko Montag, 19. Januar 2015 06:36
    Mittwoch, 14. Januar 2015 15:44
    |
  • Question
    Anmelden
    3
    Anmelden
    > auflisten möchte, fehlen alle User aus der Gruppe *Domain Users* in der
     
    Anmerkung: Domain Users hat "normalerweise" ja auch keine Mitglieder,
    sondern ist die Primäre Gruppe der User. Siehst Du, wenn Du Dir das
    member-Attribut mal anschaust - das ist <not set>.
     
    Das wird dann von den GUIs aufgelöst - in einem Skript mußt Du Dich
    möglicherweise selbst darum kümmern.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert U333 Mittwoch, 21. Januar 2015 18:40
    Mittwoch, 14. Januar 2015 16:07
    |
  • Question
    Anmelden
    1
    Anmelden
    Anmerkung: Domain Users hat "normalerweise" ja auch keine Mitglieder,
    sondern ist die Primäre Gruppe der User. Siehst Du, wenn Du Dir das
    member-Attribut mal anschaust - das ist <not set>.

    Hallo Martin,

    das habe ich inzwischen auch rausgefunden. Aber trotzdem Danke nochmal für den Hinweis.

    Ich markiere das mal als Antwort.

    Danke euch allen für eure Hilfe. Werde dem User erst mal das Ergebnis übermitteln.

    Grüße Uwe

    Mittwoch, 21. Januar 2015 18:40
    |