Vraag

woensdag 22 juli 2020 11:42

Acties:
  • 0 Henk 'm!
  • jeroentjeh
  • Registratie: Oktober 2005
  • Laatst online: 21:52

jeroentjeh

0_o

Topicstarter
Mijn vraag

Bij een klant van mij draaien we een domein met Active Directory op een Microsoft Server 2008 r2. Deze 2008 r2 machine gaat er binnenkort uit maar dit heeft niks met de vraag te maken.

De vraag is als volgt:

Hoe kan ik een gebruiker toevoegen aan alle security groepen (300+) binnen een ou? is dit met powershell te realiseren?

Relevante software en hardware die ik gebruik

Active Directory
Microsoft Server 2008 r2

Wat ik al gevonden of geprobeerd heb

Google afgestruind naar oplossingen maar kom nog geen juiste antwoorden tegen. Kan me voorstellen dat dit bijvoorbeeld met powershell gedaan kan worden.

Beste antwoord (via jeroentjeh op 22-07-2020 12:24)

woensdag 22 juli 2020 11:52

  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Ok, dan kauw ik nog een search query voor je voor. :)

powershell get groups in specific ou

Als je de groups hebt, kun je met ForEach-Object (% { ... } in het kort) de user aan die group toevoegen.

edit:
@jeroentjeh Ik zal nog iets meer hints geven omdat ik me voor kan stellen dat het verwarrend is.

Met Get-ADGroup's parameter -SearchBase kun je in een specifieke OU zoeken.
De resultaten daarvan kun je pipen naar Add-ADGroupMember.

Ik zou het eerst even op een Test-OU proberen. :)

[ Voor 69% gewijzigd door Room42 op 22-07-2020 11:58 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

Alle reacties

woensdag 22 juli 2020 11:45

Acties:
  • 0 Henk 'm!
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Ja, dat kan met powershell (natuurlijk, zou ik haast zeggen). Wat had je al gevonden (of gezocht) want 'powershell add user to groups' zou toch al heel veel nuttigs moeten opleveren.

edit:
Met powershell add user to multiple groups moet je zéker het antwoord vinden.

[ Voor 61% gewijzigd door Room42 op 22-07-2020 11:50 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 22 juli 2020 11:51

Acties:
  • 0 Henk 'm!
  • jeroentjeh
  • Registratie: Oktober 2005
  • Laatst online: 21:52

jeroentjeh

0_o

Topicstarter
Hallo @Room42

Ik kwam voornamelijk uit op hoe je meerdere users uit een OU toe kan voegen aan een securitygroep. Wat ik wil is dat de OU qua securitygroepen wordt uitgelezen en aan elke securitygroep hiervan een gebruiker wordt toegevoegd.

Deze heb ik nog niet kunnen vinden.

woensdag 22 juli 2020 11:52

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Ok, dan kauw ik nog een search query voor je voor. :)

powershell get groups in specific ou

Als je de groups hebt, kun je met ForEach-Object (% { ... } in het kort) de user aan die group toevoegen.

edit:
@jeroentjeh Ik zal nog iets meer hints geven omdat ik me voor kan stellen dat het verwarrend is.

Met Get-ADGroup's parameter -SearchBase kun je in een specifieke OU zoeken.
De resultaten daarvan kun je pipen naar Add-ADGroupMember.

Ik zou het eerst even op een Test-OU proberen. :)

[ Voor 69% gewijzigd door Room42 op 22-07-2020 11:58 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 22 juli 2020 11:56

Acties:
  • 0 Henk 'm!
  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 22:07

bregweb

jeroentjeh schreef op woensdag 22 juli 2020 @ 11:42:
De vraag is als volgt:
Hoe kan ik een gebruiker toevoegen aan alle security groepen (300+) binnen een ou? is dit met powershell te realiseren?
Mag ik vragen waarom je dit wilt? Is er niet iets mis met je inrichting als je deze vraag op je bord krijgt?

Hattrick: Thorgal Eagles

woensdag 22 juli 2020 12:00

Acties:
  • 0 Henk 'm!
  • jeroentjeh
  • Registratie: Oktober 2005
  • Laatst online: 21:52

jeroentjeh

0_o

Topicstarter
Er is zeker wat mis met de inrichting vandaar dat er ook een migratie gepland staat voor deze klant om het te 'ontzooien' qua rechten. Voor nu heb ik wel even alle rechten nodig voor een user binnen alle mappen.

woensdag 22 juli 2020 12:01

Acties:
  • 0 Henk 'm!
  • jeroentjeh
  • Registratie: Oktober 2005
  • Laatst online: 21:52

jeroentjeh

0_o

Topicstarter
Room42 schreef op woensdag 22 juli 2020 @ 11:52:
Ok, dan kauw ik nog een search query voor je voor. :)

powershell get groups in specific ou

Als je de groups hebt, kun je met ForEach-Object (% { ... } in het kort) de user aan die group toevoegen.

edit:
@jeroentjeh Ik zal nog iets meer hints geven omdat ik me voor kan stellen dat het verwarrend is.

Met Get-ADGroup's parameter -SearchBase kun je in een specifieke OU zoeken.
De resultaten daarvan kun je pipen naar Add-ADGroupMember.

Ik zou het eerst even op een Test-OU proberen. :)
Thanks ik ga er even mee aan de slag. :)

woensdag 22 juli 2020 12:22

Acties:
  • 0 Henk 'm!
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 00:43

The Eagle

I wear my sunglasses at night

Migraties en changes tegelijk uitvoeren is recipe for disaster he, dat snap je?
Leuk bedacht dat het in het zelfde window kan en moet ("als je toch bezig bent"...), maar als je tijdens je migratie terug moet ben je mooi het bokje.

Ik zeg het maar vooraf, scheelt jou mogelijk een hoop grijze haren achteraf :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 22 juli 2020 12:23

Acties:
  • +1 Henk 'm!
  • jeroentjeh
  • Registratie: Oktober 2005
  • Laatst online: 21:52

jeroentjeh

0_o

Topicstarter
Room42 schreef op woensdag 22 juli 2020 @ 11:52:
Ok, dan kauw ik nog een search query voor je voor. :)

powershell get groups in specific ou

Als je de groups hebt, kun je met ForEach-Object (% { ... } in het kort) de user aan die group toevoegen.

edit:
@jeroentjeh Ik zal nog iets meer hints geven omdat ik me voor kan stellen dat het verwarrend is.

Met Get-ADGroup's parameter -SearchBase kun je in een specifieke OU zoeken.
De resultaten daarvan kun je pipen naar Add-ADGroupMember.

Ik zou het eerst even op een Test-OU proberen. :)
Gefixed met het volgende powershell commando:

import-module ActiveDirectory :+

Get-ADGroup -Filter 'GroupCategory -eq "Security" -and GroupScope -ne "DomainLocal"' -SearchBase 'OU=SubOU,OU=HoofdOU,DC=domein,DC=local' | Add-ADGroupMember -Members 'gebruikersnaam'

Bedankt voor de hulp! :)

donderdag 23 juli 2020 14:18

Acties:
  • +2 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

jeroentjeh schreef op woensdag 22 juli 2020 @ 11:42:
Hoe kan ik een gebruiker toevoegen aan alle security groepen (300+) binnen een ou? is dit met powershell te realiseren?
Waarom ga je dit doen?

Is het niet handiger om eerst een rechtenoverzicht te maken op basis van bv functie, en dan RBAC te gaan introduceren?

Je maakt dan een groep aan bv. "kantoormederkers X", en deze groep maak je lid van alle benodigde groepen die rechten op de resources hebben.

Vervolgens hoef je je users dan niet meer lid te maken van 300+ groepen. Dat is onoverzichtelijk en onbeheersbaar.

Daarnaast loop je, zeker in een tijdelijke migratie-situatie, het risico dat je de maximale grootte van je Kerberos tickets gaat benaderen.

Problems with Kerberos authentication when a user belongs to many groups

Zelfs voor de time-being zou ik het anders oplossen (als je er voor zou kiezen om niet eerst netjes de rechten te gaan ombouwen). Maak één groep aan die lid is van alle groepen in je OU, en maak al je users lid van die ene groep.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 23 juli 2020 14:21

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 16-09 15:04

MAX3400

XBL: OctagonQontrol

Extra: mocht je ooit met ADFS en claims gaan werken, haal je je nog meer op je hals want niet elke relying party zit te wachten dat je 900 groepen over de lijn stuurt. Mag je daar zometeen weer filters op gaan zetten terwijl je nu eigenlijk bezig bent om "zoveel mogelijk niet te filteren".

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq