none
AD User Berechtigung kopieren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Gibt es einen Weg die Berechtigungen von einem AD User zu kopieren? Ich habe ein Script für die Benutzerstellung erstellt und möchte nun, dass die Kunden einen Referenz Benutzer angeben können. Bei Interesse kann ich das Script hochladen. 

    Folgende Punkte funktionieren

    • Benutzererstellung
    • UserHomeDirectory mit Einbindung als Netzlaufwerk 
    • Berechtigungen (Manuell angeben in der Excel Liste)

    Für eine Antwort wäre ich sehr dankbar. 

    Donnerstag, 20. August 2020 07:37
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Die Schleife checkt einfach ob der Referenz Benutzer in irgendeiner AD-Gruppe ist und fügt, falls das if Argument stimmt, denn neuen Benutzer hinzu.

    Du machst es Dir aber auch schwer .... im Wesentlichen sind es zwei Kommandos: 

    $GroupList = Get-ADPrincipalGroupMembership -Identity 'Referenz-User'
Add-ADPrincipalGroupMembership -Identity 'Neu-User' -MemberOf $GroupList

    Du wirst eine Warnung bekommen weil Du die PrimaryGroup mit ausliest, aber natürlich nicht mit zuweisen kannst, weil der neue User da schon drin ist. Du kannst diese Warnung ignorieren, unterdrücken oder behandeln ...  ;-) ... wie Du magst.

    und bitte nicht falsch verstehen, aber wenn: 

    Die Lösung hat leider nicht funktioniert..

    ... dann liegt es an Dir. Wenn Du dafür Hilfe möchtest, wirst Du aber etwas mehr als "... hat nicht funktioniert" liefern müssen. ;-)

    Edit:

    Eine andere Möglichkeit wäre diese:

    $GroupList = Get-ADUser -Identity 'Referenz-User' -Properties MemberOf 
Add-ADPrincipalGroupMembership -Identity 'Neu-User' -MemberOf $GroupList.MemberOf
    Die hätte auch noch den Charme, keine Warnung auszugeben, da die PrimaryGroup dabei nicht mit ausgelesen wird.

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''


    • Bearbeitet BOfH-666 Donnerstag, 20. August 2020 15:36
    • Als Antwort markiert AndreH Freitag, 21. August 2020 06:41
    Donnerstag, 20. August 2020 15:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Gibt es einen Weg die Berechtigungen von einem AD User zu kopieren?

    Was genau meinst Du damit? Um welche Berechtigungen geht es?

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    Donnerstag, 20. August 2020 07:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Ich möchte von einem angegeben AD-Benutzer alle AD-Gruppen "auslesen" und diese dann automatisch dem neu erstellten Benutzer übergeben. Ich habe dies jetzt jeweils so gemacht:

       if($acl0)
    {
        Add-ADGroupMember -Identity $acl0 -Members $benutzername
    }
    if($acl1)
    {
        Add-ADGroupMember -Identity $acl1 -Members $benutzername
    }

    Donnerstag, 20. August 2020 08:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich möchte von einem angegeben AD-Benutzer alle AD-Gruppen "auslesen" und diese dann automatisch dem neu erstellten Benutzer übergeben. Ich habe dies jetzt jeweils so gemacht: ...

    Ohne zu wissen, was genau $acl0 und $acl1 ist - wenn das funktioniert, warum willst Du das ändern?  Du kannst übrigens mit Add-ADPrincipalGroupMembership einen Benutzer auf einmal mehreren Gruppen auf einmal hinzufügen.

    Und übrigens: Bitte code als Code formatieren, Danke. How to Use the Code Feature in a TechNet Forum Post

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    • Bearbeitet BOfH-666 Donnerstag, 20. August 2020 09:17
    Donnerstag, 20. August 2020 09:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich möchte von einem angegeben AD-Benutzer alle AD-Gruppen "auslesen" und diese dann automatisch dem neu erstellten Benutzer übergeben. Ich habe dies jetzt jeweils so gemacht: ...

    Hallo,

    in $acl0 steht zum Beispiel der Gruppenname für die Ordnerberechtigung "Geschäftsleitung"oder irgend eine andere. Diese werden in einer Excel Liste manuell eingegeben und von meinem Script eingelesen. 

    Ich möchte es ändern, da unsere Benutzer mehrere Netzwerkordner haben und unser Namenskonzept sehr kompliziert ist. Ziel ist es einfach, dass die Kunden einen Benutzer angeben, welcher die gleichen Ordnerberechtigung hat, wie der Neueintritt. Es kann sein, dass ein Neueintritt 10-15 AD-Gruppen braucht. Ich möchte einfach, dass Powershell diese Berechtigung von einem existierendem Benutzer irgendwie ausliest und diese dem neu erstelltem Benutzer erteilt.
    Und danke für den Tipp =)

    LG 

    Andre

     


    Donnerstag, 20. August 2020 09:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich möchte einfach, dass Powershell diese Berechtigung von einem existierendem Benutzer irgendwie ausliest und diese dem neu erstelltem Benutzer erteilt.

    Das hatte ich schon verstanden. Die Gruppenmitgliedschaften eines Benutzers auszulesen, sollte keine große Herausforderung sein. Und diese ausgelesenen Gruppen kannst Du, wie ich es oben schon erwähnt hatte, mit dem cmdlet  Add-ADPrincipalGroupMembership einem anderen Benutzer zuweisen. 

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    • Bearbeitet BOfH-666 Donnerstag, 20. August 2020 10:00
    Donnerstag, 20. August 2020 09:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Dann schau mal hier, weil ja niemand gerne Links posted;-):

    https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adprincipalgroupmembership?view=win10-ps

    Das Gegegnstück:

    https://docs.microsoft.com/en-us/powershell/module/addsadministration/add-adprincipalgroupmembership?view=win10-ps

    Donnerstag, 20. August 2020 10:11
    |
  • Question
    Anmelden
    1
    Anmelden

    Warum so kompliziert? Der TO möchte sich bestimmt mal mit dem Instance-Parameter von New-ADUser auseinandersetzen :-)

    http://www.ntweekly.com/2020/08/02/copy-an-active-directory-user-with-powershell/

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 20. August 2020 10:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Warum so kompliziert? Der TO möchte sich bestimmt mal mit dem Instance-Parameter von New-ADUser auseinandersetzen :-)

    http://www.ntweekly.com/2020/08/02/copy-an-active-directory-user-with-powershell/

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Die Lösung hat leider nicht funktioniert.. Habe mir eine kurze Schleife erstellt. 

    $groups = Get-ADGroup -Filter *
    $referenz = Read-Host -Prompt "Bitte Benutzernamen des Referenzbenutzers eingeben"
    foreach ($group in $groups) 
{
    $members = Get-ADGroupMember -Identity $group -Recursive | Select -ExpandProperty SamAccountName
    If ($members -contains $referenz) {
     Add-ADGroupMember -Identity $group -Members "$benutzername"
    }

    Die Schleife checkt einfach ob der Referenz Benutzer in irgendeiner AD-Gruppe ist und fügt, falls das if Argument stimmt, denn neuen Benutzer hinzu. 

    Danke euch allen für eure Hilfe. 


    • Als Antwort markiert AndreH Donnerstag, 20. August 2020 14:44
    • Tag als Antwort aufgehoben AndreH Freitag, 21. August 2020 06:42
    Donnerstag, 20. August 2020 14:44
    |
  • Question
    Anmelden
    1
    Anmelden

    Die Schleife checkt einfach ob der Referenz Benutzer in irgendeiner AD-Gruppe ist und fügt, falls das if Argument stimmt, denn neuen Benutzer hinzu.

    Du machst es Dir aber auch schwer .... im Wesentlichen sind es zwei Kommandos: 

    $GroupList = Get-ADPrincipalGroupMembership -Identity 'Referenz-User'
Add-ADPrincipalGroupMembership -Identity 'Neu-User' -MemberOf $GroupList

    Du wirst eine Warnung bekommen weil Du die PrimaryGroup mit ausliest, aber natürlich nicht mit zuweisen kannst, weil der neue User da schon drin ist. Du kannst diese Warnung ignorieren, unterdrücken oder behandeln ...  ;-) ... wie Du magst.

    und bitte nicht falsch verstehen, aber wenn: 

    Die Lösung hat leider nicht funktioniert..

    ... dann liegt es an Dir. Wenn Du dafür Hilfe möchtest, wirst Du aber etwas mehr als "... hat nicht funktioniert" liefern müssen. ;-)

    Edit:

    Eine andere Möglichkeit wäre diese:

    $GroupList = Get-ADUser -Identity 'Referenz-User' -Properties MemberOf 
Add-ADPrincipalGroupMembership -Identity 'Neu-User' -MemberOf $GroupList.MemberOf
    Die hätte auch noch den Charme, keine Warnung auszugeben, da die PrimaryGroup dabei nicht mit ausgelesen wird.

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''


    • Bearbeitet BOfH-666 Donnerstag, 20. August 2020 15:36
    • Als Antwort markiert AndreH Freitag, 21. August 2020 06:41
    Donnerstag, 20. August 2020 15:30
    |
  • Question
    Anmelden
    2
    Anmelden

    http://www.ntweekly.com/2020/08/02/copy-an-active-directory-user-with-powershell/

    Die Lösung hat leider nicht funktioniert..
    Da würde es mich persönlich interessieren, was nicht funktioniert hat - und wie der Code dazu aussieht bwz. ausgesehen hatte :-) Ich poste ungern Blödsinn, der dann nicht hilft...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 20. August 2020 15:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin

    Den Code habe ich wie folgt angepasst:

    #Import module
Import-Module activedirectory
#Set password for new user 
$password = Read-Host -Prompt "Set Password" -AsSecureString
#Copy user - user01
$userInstance = Get-ADUser -Identity "test.referenz" 
#Create a new user from user01
New-ADUser -SAMAccountName "test.neu" -Instance $userInstance -DisplayName "test01" -Name "test01" -UserPrincipalName "test01@test.example.com" -AccountPassword $password
#Get AD user details of new user
$oupath = Get-aduser test.neu
$x = $oupath.DistinguishedName
#Move new user to Accounts OU
Move-ADObject -Identity $x -TargetPath "Pfad der OU"
    Es wurde nur der Nachname und der Vorname des Benutzers "test.referenz" kopiert. 

    Freitag, 21. August 2020 06:05
    |
  • Question
    Anmelden
    1
    Anmelden

    Du hast recht - MemberOf wird nicht übernommen, selbst wenn man's bei Get-ADUser mit -Properties explizit angibt. Und dokumentiert ist das auch nicht wirklich - es geht anscheinend tatsächlich nur, indem man alle Mitgliedschaften des Quellusers ausliest und neu vergibt.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd378942(v=ws.10)

    Ok, bevor ich das nächste Mal einem Blogpost vertraue, muß ich das wohl erst selber ausprobieren...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Montag, 24. August 2020 09:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok, bevor ich das nächste Mal einem Blogpost vertraue, muß ich das wohl erst selber ausprobieren...

    Perks of not being an MVP: Du darfst Fehler machen ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 24. August 2020 10:21
    |