Category Archives: Powershell

Mit MAC-Adresse Reservierung oder Lease finden

In größeren DHCP-Umgebungen kann es hilfreich sein eine globale Suche absetzen zu können.
Für die eingesetzten CMDlets von Powershell ist mindestens Windows Server 2012 bzw. Windows 8.1 vorausgesetzt.

$MACAddress ="00-00-00-00-00-00"
$dhcpserver = "192.168.100.10"
$allscope = Get-DhcpServerv4Scope -ComputerName $dhcpserver
 
foreach ($ScopeID in $allscope) {
Get-DhcpServerv4reservation -ComputerName $dhcpserver -ScopeId $ScopeID.scopeid | where {$_.clientID -match $MACAddress}|ft -AutoSize
Get-DhcpServerv4Lease -ComputerName $dhcpserver -ScopeId $ScopeID.scopeid | where {$_.clientID -match $MACAddress}|ft -AutoSize
}

In diesem Fall wird auf einem DHCP-Server eine MAC-Adresse gesucht.
Dieses geschieht für Reservierungen sowie auch Leases.
Die Suche wird über alle vorhandenen IPv4-Scopes angewandt.

Als Ergebnis werden die jeweils vorhandenen Werte angezeigt.

Kopieren von Gruppen eines AD-Benutzers

In Testfällen kann es sehr sinnvoll sein auf schnellem Weg Benutzer-Berechtigungen zu kopieren. Dafür werden im Powershell-Skript die vorhandenen Gruppen gelöscht. Anschließend werden vom Quell-Benutzer die AD-Gruppen ausgelesen und dem Ziel-Benutzer hinzugefügt.

$Source = "UserA"
$Destination = "UserB"
 
#Leeren des Zielbenutzers
(Get-ADUser $Destination -properties memberof).memberof  | 
Remove-ADGroupMember -Members $Destination -Confirm:$false
 
#Benutzer in die Gruppen hinzufügen
Get-ADUser -Identity $Source -Properties memberof |
Select-Object -ExpandProperty memberof |
Add-ADGroupMember -Members $Destination -PassThru |
Select-Object -Property SamAccountName

Die neu hinzugefügten Gruppen werden in einer Liste als SamAccountName angezeigt.

Grafische Listen-Ausgabe unter Powershell

Über den das CMDlet „Out-GridView“ ist die grafische Darstellung von Ausgabelisten möglich. Eine Formatierung ist über eine Steuerung mit Select-Object möglich. In der Oberfläche kann dann auch bei längeren Listen gefilert werden.

Über den Zusatz „-title“ kann der Titel der Oberfläche bestimmt werden. Wichtiger finde ich allerdings die Funktionalität „-passthru“. Mit dieser kann ein ausgewählter Wert zurück ins Skript übergeben werden. Somit kann auch trotz dem Einsatz von Powershell eine schnelle und intuitive Nutzung für Anwender eines Skriptes gewährleistet werden. Generell ist eine Mehrfach-Auswahl von Einträgen möglich. Wenn dieses nicht gewünscht ist, muss der Parameter „-OutputMode Single“ gesetzt werden.

Für die Nutzung des Befehlssatzes ist mindestens Powershell Version 3 sowie eine installierte Powershell ISE erforderlich.

Weitere Informationen dazu unter Microsoft Docs

Export von AD-Gruppenmitgliedern mit Informationen

Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. Häufig werden weitere Daten benötigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen benötigt. Dazu habe ich ein Skript erstellt.

import-module activedirectory
[System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null
 
$groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") 
$Domaincontroller = "LAB-DC1.demo.local"
$Folder = [System.Environment]::GetFolderPath("MyDocuments")
$Exportfile = $Folder + "\" + $groupname + ".csv"
$Parameter ="name, mail, samaccountname"
 
$Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName
$Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8

Als Voraussetzung für die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese müssen nach Installation der passenden MSI über „Programme und Features“ aktiviert werden. Anschließend sollte noch der Domänencontroller im Ablauf angepasst werden.

Zur Abfrage wird ein kleines GUI-Fenster geöffnet in dem der benötigte Gruppenname eingetragen wird. Anschließend wird eine Liste im Dokumente-Ordner des ausführenden Benutzers erstellt. Diese enthält in dieser Ausführung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.

Modusabfrage zur GPO-Loopback-Verarbeitung

In manchen Domänen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese Funktionalität an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:

$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System"
$value = "UserPolicyMode"
 
$UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value
 
If ($UserPolicyMode -eq $null){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 1){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Zusammenführen (Merge)"" gesetzt.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 2){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}

Dabei wird der Wert

UserPolicyMode

aus dem Registrypfad

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System

abgefragt.

Entsprechend des Ergebnisses wird eine Messagebox dargestellt.

  • Wert: 1 = Modus „Zusammenführen (Merge) aktiviert
  • Wert: 2 = Modus „Ersetzen (Replace)“ aktiviert
  • Kein Wert = Loopback-Verarbeitung deaktiviert

Powershell-Fehlermeldung von Netzlaufwerken

Gern meldet sich Powershell mit rot markierten Meldungen in Skripten oder entsprechenden Abläufen. Aber auch wenn einfach nur eine Powershell-Konsole geöffnet wird, kann direkt eine Meldung erscheinen, die wie folgt aussieht:

Attempting to perform the InitializeDefaultDrives operation on the ‘FileSystem’ provider failed.

Dieses liegt meistens an entweder nicht sauber getrennten Netzwerklaufwerken oder Netzwerklaufwerken, die bei der Anmeldung des Benutzers am System, nicht ordnungsgemäß wieder hergestellt werden konnten. Generell ist dieses allerdings keine Einschränkung für das jeweilige Skript, außer es verwendet eines der betroffenen Laufwerke.

Zufälliges Ermitteln von AD-Benutzern

Bei Rollouts oder Erstellung von Test-Gruppen ist es hilfreich einfach eine „willkürliche“ Liste von Benutzern zu nutzen. Um dieses einfach nicht selber entscheiden zu müssen, habe ich eine kleine Powershell-Zeile, die mir dieses abnimmt.

Get-ADUser -Filter * -properties * | where {$_.scriptpath -like*login*} | Select-Object -Property samaccountname | Sort-Object{Get-Random} | Select -First 50

Dieses Beispiel habe ich genutzt, um ein veraltetes Loginskript umzustellen. Es werden alle Benutzer ermittelt, die im AD-Objekt noch das definiert Loginskript eingetragen haben. Nach der Auswertung der Benutzeranmeldenamen („samAccountName“) werden diese in eine zufällige Reihenfolge gebracht. Anschließend werden die ersten 50 Benutzer definiert.

Mit dieser Liste kann man entweder über einen Export weiterarbeiten oder auch direkt einen Powershell-Befehl zur Abarbeitung von Anpassungen anhängen.