Die Einstellung MaxGroupOrMemberEntries in Active Directory Web Services (ADWS) legt die maximale Anzahl von Gruppenmitgliedern fest, die von bestimmten PowerShell-Cmdlets abgerufen werden können. Standardmäßig ist dieser Wert auf 5000 begrenzt.
Dieses ist mir aufgefallen als ich eine Abfrage mit dem CMDlet „Get-ADGroupMember“ abfragen wollte. Die Gruppe hatte eine Mitgliederanzahl größer den 5000.
Die Einschränkung gilt für die folgenden CMDlets:
- Get-ADGroupMember
- Wird verwendet, um Mitglieder einer Gruppe abzurufen. Die Anzahl der zurückgegebenen Mitglieder ist durch diesen Eintrag begrenzt.
- Get-ADPrincipalGroupMembership
- Dieses Cmdlet listet alle Gruppenmitgliedschaften eines Benutzers oder Computers auf.
- Get-ADAccountAuthorizationGroup
- Zeigt die Sicherheitsgruppen an, die für die Autorisierung eines Benutzerkontos verwendet werden.
Es gibt 2 Varianten, dieses Problem zu umgehen. Die einfachste Möglichkeit ist die Nutzung des CMDlets „Get-ADGroup“, die mit dem ExtensionProperty „Member“ genutzt wird und einer Pipe die Daten weiterverarbeitet.
Eine zweite Variante ist die Erweiterung im Active Directory Webservice (ADWS). Dazu muss der Eintrag
<add key="MaxGroupOrMemberEntries" value="20000"/>in der Datei C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config hinzugefügt werden. Dieses ist mit einem Texteditor möglich. Dieses muss im Bereich der <appSettings> geschehen. Um die Änderung zu übernehmen, muss der Dienst neugestartet werden.