none
OPATH Filter: Attribut MemberOfGroup RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe eine Frage zur Realisierung eines Filters für eine Empfängerrichtlinie. Wir möchten jede Funktion an eine Ressourcengruppe binden. Bisher hatten wir die Filter für den RUS auf Mitarbeitergruppen matchen lassen. Nun soll das aber so sein, das die Filter auf eine Ressourcengruppe matchen in der dann die MA-Gruppe Mitglied ist. Leider funktioniert das mit dem OPATH-Filter nicht.

    Ein 

    get-recipient -RecipientPreviewFilter "(Alias -like '*' -and ((ObjectCategory -like 'person') -or (ObjectCategory -like 'group') -or (ObjectCategory -like 'msExchDynamicDistributionList') -or (ObjectCategory -like 'publicFolder')) -and (MemberOfGroup -eq 'CN=rus_xxx,OU=EXCH_RUS,OU=Resources,DC=xxx,DC=de'))" |fl Name, EmailAddresses

    liefert mir kein Ergebnis, obwohl in der Gruppe rus_xxx eine Gruppe ma_xxx Mitglied ist, in der sich wiederum diverse Benutzer befinden. Tausche ich im Filter rus_xxx gegen ma_xxx, funktioniert der Filter. Anscheinend ermittelt das Attribut MemberOfGroup nicht rekursiv alle Mitgliedschaften (auch indirekte). Gibt es ein anderes Attribut, mit dem ich auch die indirekten Gruppenmitgliedschaften filtern kann?MfG

    Micha Boschke

    Montag, 22. April 2013 12:43
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Micha,

    In den Filtereigenschaften -RecipientFilter gibt es leider den -RecursiveMatch nicht.

    Wenn die Exchange-Umgebung nur in der einen Domain läuft und nicht im ganzen Forrest Dienste (Domainübergreifend) anbietet, kannst du doch ohne dein Konzept der Administration zu verletzen die Domainlokalen Gruppen verwenden. 

    Ansonsten würde ich es mit den Distri Gruppen Lösen.

    Viele Grüße

    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Dienstag, 23. April 2013 09:03
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Micha,

    Bei den AD Cmdlets gibt es Get-AdGroupmember . Damit kannst du Rekursiv Gruppenmitgliedschaften abfragen.

    z.B.: Get-AdGroupmember "MA Verwaltung" -recursive

    Wenn das nicht reicht kannst du über eine Pipe die User in den get-Recipient umleiten.

    Viele Grüße

    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Montag, 22. April 2013 13:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Philipp,

    ja, das hatte ich auch schon gefunden. Nur kann ich doch kein Cmdlet in einem OPATH-Filter für Empfängerrichtlinien verwenden. Der Konfigbefehl dafür wäre:

    Set-EmailAddressPolicy "XXX" -RecipientFilter "(Alias -like '*' -and ((ObjectCategory -like 'person') -or (ObjectCategory -like 'group') -or (ObjectCategory -like 'msExchDynamicDistributionList') -or (ObjectCategory -like 'publicFolder')) -and (MemberOfGroup -eq 'CN=rus_xxx,OU=EXCH_RUS,OU=Resources,DC=xxx,DC=de'))"

    Der AdressPolicy muss ich halt einen Filter mitgeben. Da kann man doch gar nichts pipen, oder doch? Das get-Recipient habe ich nur zum Testen des Filters verwendet, kommt aber eigentlich nicht zum Einsatz.

    VG
    Micha


    Montag, 22. April 2013 13:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi SchwielowNET Michael Boschke,

    versuch es mal hiermit
    MemberOf -RecursiveMatch 'CN=rus_xxx,OU=EXCH_RUS,OU=Resources,DC=xxx,DC=de'
    http://technet.microsoft.com/en-us/library/hh531527(v=ws.10).aspx

    Viele Grüße
    Christian

    Montag, 22. April 2013 17:49
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Der Filter Memberof greift meines Wissens auf den Distinguished Name der Gruppe den man angegeben hat. Es erfolgt keine Rekursive Abfrage.

    Da das eine EmailAddressPolicy ist, ist Skripten nicht möglich.

    sieh dir die Filter-Eigenschaften des -RecipientFilter nochmal an. Je nach Administrativen Aufwand ist es möglicherweise eine Überlegung wert DynamicDistributionGroups einzusetzen. Diese musst du Administrativ nur einmal anlegen.

    Viele Grüße

    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Montag, 22. April 2013 18:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    danke für den interessanten Tip. Das -RecursiveMatch funktioniert bei dem Cmdlet Get-AdUser wunderbar und listet auch sauber alle User auf. Bei einem Empfängerfilter funktioniert es jedoch leider nicht. Weder ein -RecipientFilter {memberOf -recursivematch 'CN=ru....  noch ein -RecipientFilter {MemberOfGroup -recursivematch 'CN=ru....  bringen überhaupt ein Ergebnis, allerdings komischerweise auch keine Fehlermeldung.

    VG
    Micha Boschke

    Dienstag, 23. April 2013 05:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Philipp,

    du meinst, das wir statt der RessourcenGruppen im AD DynamicDistributionGroups verwenden sollen? Auch ein interessanter Gedanke, aber dann kann ich die Empfängerrichtlinie auch gleich auf die MA-Gruppen filtern lassen. Wir wollten nur aus Gründen der Einheitlichkeit unser Konzept "Mitarbeiter in MA-Gruppen nach MA-Rolle (Global), diese dann in Ressourcengruppen (lokal bzw. wegen der Größe der Kerberostickets universal) und diese dann an die ACLs/Ressourcen binden" auch bei den Empfängerrichtlinien durchsetzen.

    Vielleicht führt MS ja mal in einer zukünftigen Version den Operator -RecursiveMatch auch bei OPATH-Filtern ein.

    VG
    Micha Boschke

    Dienstag, 23. April 2013 06:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Micha,

    In den Filtereigenschaften -RecipientFilter gibt es leider den -RecursiveMatch nicht.

    Wenn die Exchange-Umgebung nur in der einen Domain läuft und nicht im ganzen Forrest Dienste (Domainübergreifend) anbietet, kannst du doch ohne dein Konzept der Administration zu verletzen die Domainlokalen Gruppen verwenden. 

    Ansonsten würde ich es mit den Distri Gruppen Lösen.

    Viele Grüße

    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Dienstag, 23. April 2013 09:03
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Micha,
      
    Ist die Thematik abgeklärt? Wenn ja - bitte markiere die entsprechenden Beiträge "als Antwort".
     
    Viele Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 25. April 2013 07:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Alex,

    naja, das Thema ist in sofern beendet, als das es nicht geht, wie wir das wollen, da Microsoft mal wieder was nicht bis zu Ende umgesetzt hat. Wenn also keine anderen zündenden Ideen mehr kommen (zum Beispiel die Antwort von MS selbst, das die Funktion in einem zukünftigen SP nachgerüstet wird ;-) ), kann der Thread damit geschlossen werden.

    VG
    Micha

    Donnerstag, 25. April 2013 12:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Micha,

    eine sichere Antwort hinsichtlich zukünftige Produkt-Entwicklungen (Service Packs o.ä.) können wir leider hier in den Foren nicht geben. Diese Infos sind nur dem Produkt-Team bekannt und könnten eventuell im offiziellen Blog des Produktes veröffentlicht werden.

    Gruss,

    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 25. April 2013 14:31
    |