Kategorie: Powershell

Export von AD-Gruppenmitgliedern mit Informationen

14. Dezember 201713. Dezember 2017 Daniel Lensing 1 Kommentar

Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. Häufig werden weitere Daten benötigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen benötigt. Dazu habe ich ein Skript erstellt.

import-module activedirectory
[System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null
 
$groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") 
$Domaincontroller = "LAB-DC1.demo.local"
$Folder = [System.Environment]::GetFolderPath("MyDocuments")
$Exportfile = $Folder + "\" + $groupname + ".csv"
$Parameter ="name, mail, samaccountname"
 
$Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName
$Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8

Als Voraussetzung für die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese müssen nach Installation der passenden MSI über „Programme und Features“ aktiviert werden. Anschließend sollte noch der Domänencontroller im Ablauf angepasst werden.

Zur Abfrage wird ein kleines GUI-Fenster geöffnet in dem der benötigte Gruppenname eingetragen wird. Anschließend wird eine Liste im Dokumente-Ordner des ausführenden Benutzers erstellt. Diese enthält in dieser Ausführung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.

Powershell, Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2016

Modusabfrage zur GPO-Loopback-Verarbeitung

13. Dezember 201713. Dezember 2017 Daniel Lensing Keine Kommentare

In manchen Domänen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese Funktionalität an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:

$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System"
$value = "UserPolicyMode"
 
$UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value
 
If ($UserPolicyMode -eq $null){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 1){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Zusammenführen (Merge)"" gesetzt.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 2){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}

Dabei wird der Wert

UserPolicyMode

aus dem Registrypfad

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System

abgefragt.

Entsprechend des Ergebnisses wird eine Messagebox dargestellt.

Wert: 1 = Modus „Zusammenführen (Merge) aktiviert
Wert: 2 = Modus „Ersetzen (Replace)“ aktiviert
Kein Wert = Loopback-Verarbeitung deaktiviert

Powershell, Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2016

Powershell-Fehlermeldung von Netzlaufwerken

1. Juli 20171. Juli 2017 Daniel Lensing Keine Kommentare

Gern meldet sich Powershell mit rot markierten Meldungen in Skripten oder entsprechenden Abläufen. Aber auch wenn einfach nur eine Powershell-Konsole geöffnet wird, kann direkt eine Meldung erscheinen, die wie folgt aussieht:

Attempting to perform the InitializeDefaultDrives operation on the ‘FileSystem’ provider failed.

Dieses liegt meistens an entweder nicht sauber getrennten Netzwerklaufwerken oder Netzwerklaufwerken, die bei der Anmeldung des Benutzers am System, nicht ordnungsgemäß wieder hergestellt werden konnten. Generell ist dieses allerdings keine Einschränkung für das jeweilige Skript, außer es verwendet eines der betroffenen Laufwerke.

Powershell

Zufälliges Ermitteln von AD-Benutzern

14. März 201714. März 2017 Daniel Lensing Keine Kommentare

Bei Rollouts oder Erstellung von Test-Gruppen ist es hilfreich einfach eine „willkürliche“ Liste von Benutzern zu nutzen. Um dieses einfach nicht selber entscheiden zu müssen, habe ich eine kleine Powershell-Zeile, die mir dieses abnimmt.

Get-ADUser -Filter * -properties * | where {$_.scriptpath -like “*login*”} | Select-Object -Property samaccountname | Sort-Object{Get-Random} | Select -First 50

Dieses Beispiel habe ich genutzt, um ein veraltetes Loginskript umzustellen. Es werden alle Benutzer ermittelt, die im AD-Objekt noch das definiert Loginskript eingetragen haben. Nach der Auswertung der Benutzeranmeldenamen („samAccountName“) werden diese in eine zufällige Reihenfolge gebracht. Anschließend werden die ersten 50 Benutzer definiert.

Mit dieser Liste kann man entweder über einen Export weiterarbeiten oder auch direkt einen Powershell-Befehl zur Abarbeitung von Anpassungen anhängen.

Powershell

Powershell – Fensterüberschrift editieren

2. Januar 20172. Januar 2017 Daniel Lensing Keine Kommentare

Bei einigen Skripten oder bei mehreren Powershell-Fenstern kann es sinnvoll sein, den entsprechende Programmaufruf mit einer eigenen Überschrift zu versehen.
Dieses ist mit dem folgenden Aufruf möglich:

$host.ui.RawUI.WindowTitle = („Test-Überschrift“)

Auch in der Taskleiste ist die definierte Überschrift zu lesen, so dass es einfacher ist die Powershell-Fenster zu ermitteln.

Powershell

Win10: Windows Update-Logfile generieren

26. August 201626. August 2016 Daniel Lensing Keine Kommentare

Seit Windows 10 wird das Logfile für die Funktionalität des Windows Update nicht mehr direkt in einer lesbaren Form zur Verfügung gestellt. Um Ressourcen zu sparen wird „Event Tracing for Windows“ (ETW) eingesetzt, welches Daten als etl-Dateien auf dem System ablegt.

Entsprechend muss mit dem folgenden Powershell-Befehl unter Nutzung von administrativen Berechtigungen die Datei generiert werden.

Get-WindowsUpdateLog

Es wird automatisch die WindowsLog-Datei auf dem Desktop des ausführenden Benutzers gespeichert.

In der Datei befinden sich dann noch Zeilen, welche bereinigt werden können, da diese nicht benötigt werden:

(Get-Content "$env:USERPROFILE\Desktop\WindowsUpdate.log") -notmatch "1601.01.01" | Out-File -Encoding ASCII "$env:USERPROFILE\Desktop\WinUpdate.log"
Remove-Item "$env:USERPROFILE\Desktop\WindowsUpdate.log"

Weitere Informationen: hier

Powershell, Windows 10, Windows Server 2016

Powershell: Druckertreiber auf „packageaware“ prüfen

1. August 20161. August 2016 Daniel Lensing Keine Kommentare

Aufgrund der Anpassung des Microsoft-Updates MS16-087 ist es für eine erfolgreiche Installation ohne Benutzer-Interaktion ebenfalls erforderlich, dass der Druckertreiber als „ispackageaware“ gekennzeichnet ist.

Dieses ist allerdings nicht bei jedem Hersteller gegeben und sollte im Rahmen der Analyse zum benannten Patch geprüft werden. Dieses ist mit dem folgenden Powershell-Befehl sehr einfach:

Get-PrinterDriver * -ComputerName "Printserver" | Where-Object {$_.PrinterEnvironment -eq "Windows x64"}| select-object provider, name, ispackageaware

Dieser funktioniert ab Windows 8 btw. Windows Server 2012 und höher. Aufgrund der Remoteabfrage kann dieser Befehl aber auch auch ältere Windows-Systeme abfragen, wenn das aufragenden System die entsprechende Windows-Version besitzt. Des Weiteren werden nur Druckertreiber für Windows 64-Bit-Versionen ermittelt, so dass wenn Treiber für des Typs V3 für beide Bit-Systeme installiert wurden, nur einer ausgewertet wird.

Was aber bedeutet „packageaware“?
Die Treiber müssen alle erforderlichen Dateien in den zentrale Treibersammlung einbringen und müssen digital signiert sein. Entsprechend werden diese auch ohne administrative Berechtigung auf einem Client im Anwender-Kontext installiert.

Powershell, Windows Server, Windows Server 2012