Erweiterte AD user profil Informationen nach OU Abhängikeit ??

mrcs

Enthusiast
Thread Starter
Mitglied seit
24.03.2003
Beiträge
5.091
Ort
Essen
Mir fällt gerade leider kein passenderer Titel ein :(

Wir haben in unserer Domänenstruktur nach Arbeitsbereichen aufgeteilte OUs.
Nun möchten wir ganz gerne verschiedene Felder der AD-Benutzerprofile ( z.B. Pager, Postfach, o.ä. ) für andere Zwecke verwenden, und vor Allem
sollen diese Felder automatisch ausgefüllt werden, jenachdem in welche OU wir die Benutzer verfrachten.
Hat das schon mal jemand gemacht und weiß wie man das anstellen kann? Lässt sich das irgendwie elegant über gpos erledigen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das könntest du per Powershell Script lösen.
 
Hallo,

ich gehe mal davon aus, dass du mit Felder die Benutzerattribute meinst.

Mit GPOs hast du den Vorteil, dass diese automatisiert bei der Anmeldung ausgeführt werden. Jedoch lässt sich eine Attributveränderung mittels GPO nicht realisieren, weil z.B. ein Powershellscript dann in diesem Benutzerkontext ausgeführt würde. Und du möchtest ja nicht, dass deine User ihre eigenen Attribute anpassen können oder? ;)

Was ich machen würde:

Auf dem PDC einen Job erstellen (geplanter Task) und dort täglich oder wie auch immer zeittechnisch ein PowerShell-Skript, wie schon von Murdock empfohlen, ausführen.
Das könnte wie folgt aussehen (Achtung: Das Skript keineswegs nutzen, das ist jetzt nur so runtergeschrieben, wurde nicht getestet):

Code:
$all_users = Get-ADUser -Properties samaccountname -Filter * | select -ExpandProperty samaccountname

foreach ($user in $all_users)
{
   $user_dn = Get-ADUser $user | select -expand DistinguishedName
   if ($user_dn -like "HierDerPfad#1")
    {
        Set-ADUser $user -OfficePhone "Attribute1"
    }

    elseif ($user_dn -like "HierDerPfad#2")
    {
        Set-ADUser $user -OfficePhone "Attribute2"
    }

    else
    {
        Set-ADUser $user -OfficePhone "Attribute1337"
    }


}


Wobei ich niemals mit einem else am Ende arbeiten würde. Dann lieber eine Fehlermeldung ausgeben und das Attribut nicht bearbeiten - Sicher ist sicher. Gerade im AD kannst du so viel kaputt machen, gerade mit der PowerShell.
Ich hoffe, dass ich dir einen kleinen Denkansatz geben konnte. Auf den Rest kommst du sicherlich selbst.

Es gibt auch noch die Möglichkeit, dass der Job dauerhaft aktiv ist und auf eine Veränderung bestimmter Dinge wartet. Das wäre jetzt aber wahrscheinlich sehr irreführend und würde die Grenzen sprengen ('89)

Grüße,
Robin
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh