Category Archives: Powershell

PowerShell: Anmeldung an MS Online Services

Microsoft bietet verschiedene Services unter Office 365 an. Diese können neben der Webapplikation auch per PowerShell angesprochen werden. Die verschiedenen Dienste über eine PowerShell-Session, wenn man die folgendes Skript nutzt:

$domainHost="domain"
$credential = Get-Credential
 
 
#Verbindungsaufbau über Azure Active Directory PowerShell for Graph module
#Connect-AzureAD -Credential $credential
 
#Verbindungsaufbau über Azure Active Directory Module for Windows PowerShell module
#Connect-MsolService -Credential $credential
 
 
Import-Module Microsoft.Online.SharePoint.PowerShell -DisableNameChecking
Connect-SPOService -Url https://$domainHost-admin.sharepoint.com -credential $credential
Import-Module SkypeOnlineConnector
$sfboSession = New-CsOnlineSession -Credential $credential
Import-PSSession $sfboSession
$exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://outlook.office365.com/powershell-liveid/" -Credential $credential -Authentication "Basic" -AllowRedirection
Import-PSSession $exchangeSession
$SccSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://ps.compliance.protection.outlook.com/powershell-liveid/" -Credential $credential -Authentication "Basic" -AllowRedirection
Import-PSSession $SccSession -Prefix cc

Zur Nutzung der Befehlsauflistung muss die Variable „$domainHost gegen die persönlich definierte Microsoft-Domain ausgetauscht werden.
Für die Verbindung zu Domain muss der jeweilig gewünschte AD-Connector durch die Entfernung des # freigeben.

Weitere Informationen sind bei Microsoft zu finden

Mit MAC-Adresse Reservierung oder Lease finden

In größeren DHCP-Umgebungen kann es hilfreich sein eine globale Suche absetzen zu können.
Für die eingesetzten CMDlets von Powershell ist mindestens Windows Server 2012 bzw. Windows 8.1 vorausgesetzt.

$MACAddress ="00-00-00-00-00-00"
$dhcpserver = "192.168.100.10"
$allscope = Get-DhcpServerv4Scope -ComputerName $dhcpserver
 
foreach ($ScopeID in $allscope) {
Get-DhcpServerv4reservation -ComputerName $dhcpserver -ScopeId $ScopeID.scopeid | where {$_.clientID -match $MACAddress}|ft -AutoSize
Get-DhcpServerv4Lease -ComputerName $dhcpserver -ScopeId $ScopeID.scopeid | where {$_.clientID -match $MACAddress}|ft -AutoSize
}

In diesem Fall wird auf einem DHCP-Server eine MAC-Adresse gesucht.
Dieses geschieht für Reservierungen sowie auch Leases.
Die Suche wird über alle vorhandenen IPv4-Scopes angewandt.

Als Ergebnis werden die jeweils vorhandenen Werte angezeigt.

Kopieren von Gruppen eines AD-Benutzers

In Testfällen kann es sehr sinnvoll sein auf schnellem Weg Benutzer-Berechtigungen zu kopieren. Dafür werden im Powershell-Skript die vorhandenen Gruppen gelöscht. Anschließend werden vom Quell-Benutzer die AD-Gruppen ausgelesen und dem Ziel-Benutzer hinzugefügt.

$Source = "UserA"
$Destination = "UserB"
 
#Leeren des Zielbenutzers
(Get-ADUser $Destination -properties memberof).memberof  | 
Remove-ADGroupMember -Members $Destination -Confirm:$false
 
#Benutzer in die Gruppen hinzufügen
Get-ADUser -Identity $Source -Properties memberof |
Select-Object -ExpandProperty memberof |
Add-ADGroupMember -Members $Destination -PassThru |
Select-Object -Property SamAccountName

Die neu hinzugefügten Gruppen werden in einer Liste als SamAccountName angezeigt.

Grafische Listen-Ausgabe unter Powershell

Über den das CMDlet „Out-GridView“ ist die grafische Darstellung von Ausgabelisten möglich. Eine Formatierung ist über eine Steuerung mit Select-Object möglich. In der Oberfläche kann dann auch bei längeren Listen gefilert werden.

Über den Zusatz „-title“ kann der Titel der Oberfläche bestimmt werden. Wichtiger finde ich allerdings die Funktionalität „-passthru“. Mit dieser kann ein ausgewählter Wert zurück ins Skript übergeben werden. Somit kann auch trotz dem Einsatz von Powershell eine schnelle und intuitive Nutzung für Anwender eines Skriptes gewährleistet werden. Generell ist eine Mehrfach-Auswahl von Einträgen möglich. Wenn dieses nicht gewünscht ist, muss der Parameter „-OutputMode Single“ gesetzt werden.

Für die Nutzung des Befehlssatzes ist mindestens Powershell Version 3 sowie eine installierte Powershell ISE erforderlich.

Weitere Informationen dazu unter Microsoft Docs

Export von AD-Gruppenmitgliedern mit Informationen

Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. Häufig werden weitere Daten benötigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen benötigt. Dazu habe ich ein Skript erstellt.

import-module activedirectory
[System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null
 
$groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") 
$Domaincontroller = "LAB-DC1.demo.local"
$Folder = [System.Environment]::GetFolderPath("MyDocuments")
$Exportfile = $Folder + "\" + $groupname + ".csv"
$Parameter ="name, mail, samaccountname"
 
$Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName
$Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8

Als Voraussetzung für die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese müssen nach Installation der passenden MSI über „Programme und Features“ aktiviert werden. Anschließend sollte noch der Domänencontroller im Ablauf angepasst werden.

Zur Abfrage wird ein kleines GUI-Fenster geöffnet in dem der benötigte Gruppenname eingetragen wird. Anschließend wird eine Liste im Dokumente-Ordner des ausführenden Benutzers erstellt. Diese enthält in dieser Ausführung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.

Modusabfrage zur GPO-Loopback-Verarbeitung

In manchen Domänen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese Funktionalität an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:

$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System"
$value = "UserPolicyMode"
 
$UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value
 
If ($UserPolicyMode -eq $null){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 1){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Zusammenführen (Merge)"" gesetzt.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 2){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}

Dabei wird der Wert

UserPolicyMode

aus dem Registrypfad

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System

abgefragt.

Entsprechend des Ergebnisses wird eine Messagebox dargestellt.

  • Wert: 1 = Modus „Zusammenführen (Merge) aktiviert
  • Wert: 2 = Modus „Ersetzen (Replace)“ aktiviert
  • Kein Wert = Loopback-Verarbeitung deaktiviert

Powershell-Fehlermeldung von Netzlaufwerken

Gern meldet sich Powershell mit rot markierten Meldungen in Skripten oder entsprechenden Abläufen. Aber auch wenn einfach nur eine Powershell-Konsole geöffnet wird, kann direkt eine Meldung erscheinen, die wie folgt aussieht:

Attempting to perform the InitializeDefaultDrives operation on the ‘FileSystem’ provider failed.

Dieses liegt meistens an entweder nicht sauber getrennten Netzwerklaufwerken oder Netzwerklaufwerken, die bei der Anmeldung des Benutzers am System, nicht ordnungsgemäß wieder hergestellt werden konnten. Generell ist dieses allerdings keine Einschränkung für das jeweilige Skript, außer es verwendet eines der betroffenen Laufwerke.