Kategorie: Powershell

Einen Artikel mit ähnlichem Namen habe ich bereits am Montag veröffentlicht. Darauf bekam ich eine Anfrage, dass es Applikationen gibt, welche einen Anhang an den Namen anhängen. Dieses kann zum Beispiel ein Domänenname wie „.domain sein oder eine Versionierung wie „.V2“.

Um dieses zu lösen muss das Skript nur minimal angepasst werden

$Startordner= "Y:"
$Domäne = "domain.local"
 
foreach($personalfolder in (get−childitem $Startordner| where {$_.psiscontainer −eq $true}))
 
{
 
$acl= Get−acl ($Startordner + $personalfolder)
 
$userlogin = $personalfolder.Name.split('.')[0]
$user = $Domäne + "\" + $userlogin
$permission = $user,"FullControl","ContainerInherit, ObjectInherit","None","Allow"
$accessRule = New−Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
 
$acl | Set−Acl ($Startordner + $personalfolder)
 
}

Nun wird durch die Splittung und Selektierung des ersten Teils der Ordnerbezeichnung dieser als Vorlage für den Ordnernamen verwandt.

Aufgrund einer Änderung eines Speicherortes musste eine komplette Struktur von Benutzerordnern neugestaltet werden. Dazu musste die Struktur an einen anderen Speicherort verschoben werden und auch die personenbezogenen Berechtigungen komplett angepasst werden mussten.

Um diese Anforderung umzusetzen habe ich folgendes Skript verwandt:

$Startordner= "X:"
$Domäne = "domain.local"
 
 
foreach($personalfolder in (get-childitem $Startordner| where {$_.psiscontainer -eq $true}))
{
 
$acl= Get-acl ($Startordner + $personalfolder)
 
$user = $Domäne + "\" + $personalfolder
$permission = $user,"FullControl","ContainerInherit, ObjectInherit","None","Allow"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
 
$acl | Set-Acl ($Startordner + $personalfolder)
 
}

Dabei werden die Ordnernamen ermittelt und diese verwandt, um ihn mit dem Domänennamen zu verknüpfen. Dieser Datenstamm wird dann auf dem Ordner angewandt, um „Full Access“ inkl. der Vererbung für den Hauptordner und allen unterliegenden Objekten.

Über den Befehl „redircmp“ bzw. „redirusr“ ist es möglich die Standardzuordnung bei der Erstellung für die Anlage von Benutzer und Computerobjekten zu verändern.

Bei Übernahme von Domänen oder wenn man nicht mehr genau weiß, ob eine Anpassung vorgenommen wurde, kann man dieses schnell per Powershellbefehl ermitteln:

import-module activedirectory
 
Get-ADDomain | select ComputersContainer, UsersContainer | fl

Mit diesem Befehlssatz bekommt man einfach und schnell die beiden Datensätze angezeigt.

Für eine Bereinigung von AD-Gruppen, während einer Umstellung, benötigt man zu Dokumentationszwecken häufiger eine Auflistungen und kann diese dann anschließend leeren.

Dieses kann durch ein einfaches Skript durchgeführt werden:

import-module ActiveDirectory
 
$MigGroup = $args[0]
$File ="C:\ExportADGroups\Delete_" + $MigGroup + ".csv"
 
$Gruppe = Get-ADGroupMember $MigGroup -server dc01.domain.local | Select distinguishedName
$Gruppe | Select-Object distinguishedName | export-csv $File
$Gruppe | ForEach { Remove-ADGroupMember $MigGroup -Confirm:$False -server dc01.domain.local -Members $_.distinguishedName}

Mit ist es bewusst, dass es wahrscheinlich einfacher ist die Gruppen zu löschen, aber teilweise muss einem nicht jede Bedeutung einer Gruppe klar sein, so dass man zur schnellen Wiederherstellung nur die Benutzer wieder in der Gruppe einfügen muss, um die gewünschte Funktion wieder zu gewährleisten.

Während eines Rollouts musste eine Steuerungsdatei aus den persönlichen Ordern der Anwender gelöscht werden, da diese ein Update auf eine neue Version verhinderte. Entsprechend musste ein Netzwerk-Laufwerk durchsucht werden.

Anbei der Befehlssatz mit dem dieser Task durchgeführt wurde:

# Verzeichnis, ab dem Rekursiv nach der Datei gesucht wird
$Suchverzeichnis = "X:\"
 
# Datei, welche gesucht wird
$Datei = "update.ini"
 
#Dateiermittlung
Get-ChildItem -Path $Suchverzeichnis -Recurse -Include $Datei | Remove-Item -force -confirm

Es können natürlich auch andere Suchparameter nach der Datei genutzt werden wie zum Beispiel „*.tmp“

Teilweise gibt es die Anforderung, dass eine Gruppe genau mit den Mitgliedern ebenfalls andere Berechtigungen im Active Directory erhalten soll. Da es aber aufgrund von Namenskonventionen oder anderer Vorgaben notwendig sein kann eine neue Gruppe zu erstellen, erleichtert einem das folgende Skript den Task in dem es die Benutzer von der Referenzgruppe in die neu erstellte Gruppe kopiert.

import−module activedirectory
$Gruppe = Get−ADGroupMember "Referenz−Gruppe" −server domaincontroller1.testing.local | Select distinguishedName
$Gruppe | ForEach { Add−ADGroupMember "Neugruppe" −server domaincontroller1.testing.local −Members $_.distinguishedName}

Was für wenige Benutzer zu „aufwendig“ sein kann, ist für große Benutzerkreise sinnvoll. Zum Beispiel kann man über diesen Mechanismus auch Rollouts steuern, in dem man einen entsprechenden Befehlssatz in einen Task einarbeitet.

Nicht nur zum prüfen, sondern auch zum Erstellen einer Migrationstabelle kann es hilfreich sein, kann es hilfreich sein, sich die SIDs der SIDHistory anzeigen zu lassen. Dieses ist per Powershell recht einfach zu realisieren:

Für AD-Gruppen:

Import-Module ActiveDirectory
Get-ADGroup -server dc1.testing.local -Filter * -Property sIDHistory | Select-Object name, sIDHistory -ExpandProperty sidHistory | Format-Table name, Value –AutoSize

Für AD-Benutzer:

Import-Module ActiveDirectory
Get-ADUser -server dc1.testing.local -Filter * -Property sIDHistory | Select-Object name, sIDHistory -ExpandProperty sidHistory | Format-Table name, Value –AutoSize

Diese können natürlich mit „export-csv“ entsprechend exportiert werden.