Gruppenmitgliedschaft im Active Directory temporär zuweisen mit PowerShell-GUI

Seit Server 2016 ist es mög­lich, Be­nutzer tem­porär in AD-Gruppen aufzu­nehmen und so ihre Berech­tigungen zeit­lich zu be­schränken. Die Bord­mittel sehen dafür nur Power­Shell vor. Mein hier beschrie­benes Script bietet aber eine GUI, so dass auch tech­nisch nicht versierte User diese Aufgabe über­nehmen können.

Temporäre Gruppen­mitglied­schaften setzen einen Forest Functional Level von Server 2016 und die Aktivierung des PAM-Features voraus. Die Grundzüge dieser Technologie sowie die einzelnen Schritte zu ihrer Nutzung hat mein Kollege Marcel Küppers bereits in diesem Beitrag beschrieben.

Gängige Anwendungsfälle

Der Bedarf an zeitlich begrenzten Berech­tigungen ist zum Beispiel gegeben, wenn externe Consultants an einem Projekt arbeiten oder wenn Auszu­bildende regelmäßig die Abteilung wechseln.

Bei Azubis kommt es sonst oft vor, dass sie die Rechte aus der alten Abteilung behalten und jene für die neue zusätzlich bekommen. Am Ende ihrer Ausbildungs­zeit haben sie dann mehr Berech­tigungen im System als jeder andere Mitarbeiter.

Kein GUI-Tool unter den Bordmitteln

Server 2016 bringt eine eigene Lösung für die zeitliche Beschränkung von Berechtigungen mit. Das Problem daran ist aber leider, dass diese Funktion nur über PowerShell zu steuern ist und viele Kollegen immer noch Berührungs­ängste damit haben.

Die Vergabe von zeitlich begrenzen Gruppen­mitglied­schaften eignet sich für die Delegierung an die Personal- oder eine andere Fachabteilung, weil die Mitarbeiter dort in der Regel besser wissen, wie lange ein externer Berater oder ein Azubi in einem Projekt bzw. in einer Abteilung tätig ist. Bei solchen nicht-technischen Anwendern wird es mit der reinen PowerShell noch schwieriger.

Meistens wird dann eine Software von einem Drittanbieter gekauft, welche diese Aufgabe über eine grafische Oberfläche vereinfacht. Mit ein bisschen Aufwand lässt sich aber in PowerShell dieses Ziel ebenfalls erreichen.

Eigene GUI mit PowerShell 

Ich habe mir hierzu ein paar Gedanken gemacht, heraus­gekommen ist eine kleine GUI, welche jeder berechtigte Benutzer leicht bedienen kann. Wie man mit PowerShell grundsätzlich eine grafische Oberfläche entwickelt, habe ich bereits in diesem Beitrag beschrieben.

Bevor das Script dem Benutzer eine die Auswahl von Konten oder eines Datums erlaubt, überprüft es, ob das Feature Privileged Access Management (PAM) überhaupt aktiviert wurde:

If((Get-ADOptionalFeature -Identity 'Privileged Access Management Feature').EnabledScopes.Count -eq 0){
# Fehlermeldung und Ende
}

Sollte dies nicht der Fall sein, dann bricht die Ausführung mit dem entsprechenden Hinweis ab.

Ist diese Bedingung jedoch erfüllt, dann kann der Benutzer auszuwählen, welcher User in welche Gruppe aufge­nommen werden soll. Im Kalender legt er dann fest, wie lange die Gruppen­mitglied­schaft erhalten bleibt.

Normalerweise muss man den Zeitraum für die Mitgliedschaft ("Time to live") in Tagen, Stunden oder Minuten angeben. Mein Script berechnet diesen Wert auf Basis des gewählten Datums im Hintergrund selbst.

Nach dem Klicken auf OK prüft das Script, ob der Benutzer bereits Mitglied in der ausgewählten Gruppe ist. Trifft dies zu, dann gibt es eine entsprechende Rückmeldung:

Ist das nicht der Fall und sollte ansonsten alles in Ordnung sein, dann sieht der Benutzer folgende Bestätigung für seine Aktion.

Das Script ist insgesamt ein ganz einfaches Tool, welches man verschieden Benutzer oder IT-Kollegen an die Hand geben kann, um temporäre Berechtigungen zu setzen.

#Prüfen ob Privileded Access Management Feature aktiviert ist If((Get-ADOptionalFeature -Identity 'Privileged Access Management Feature').EnabledScopes.Count -eq 0){ $Result = [System.Windows.Forms.MessageBox]::Show("Das Feature Privileged Access Management Feature wurde nicht gefunden, das Programm wird nicht fortgeführt!","Frage an den Benutzer",0) } Else{ #Globale Befehle abschicken um User aus dem AD in $user zu laden (siehe dropdown) $user = Get-ADUser -Filter {(name -notlike "HealthMailbox*") -and (name -notlike "SystemMailbox*") -and (name -notlike "DiscoverySearchMailbox*") -and (name -notlike "FederatedEmail*") -and (name -notlike "Migration.*") -and (name -notlike "Exchange Online-ApplicationAccount*") -and (name -notlike "DefaultAccount") -and (name -notlike "Gast")} -properties * | Select -ExpandProperty SamAccountName #Globale Befehle abschicken um Gruppen aus dem AD in $gruppen zu laden (siehe dropdown) $Gruppen = Get-ADGroup -Filter * | Select -ExpandProperty SamAccountName # GUI erstellen [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Drawing") [void] [System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms") Add-Type -AssemblyName System.Windows.Forms Add-Type -AssemblyName System.Drawing $objForm = New-Object Windows.Forms.Form $objForm = New-Object System.Windows.Forms.Form $objForm.Text = 'Temporäre Gruppenmitgliedschaft setzen' $objForm.Size = New-Object Drawing.Size @(400,490) $objForm.StartPosition = 'CenterScreen' #Drop DownFeld für User #User aus dem Ad anzeigen $objLabel = New-Object System.Windows.Forms.Label $objLabel.Location = New-Object System.Drawing.Size(28,60) $objLabel.Size = New-Object System.Drawing.Size(1000,20) $objLabel.Text = "Bitte Benutzernamen wählen:" $objForm.Controls.Add($objLabel) $objCombobox = New-Object System.Windows.Forms.Combobox $objCombobox.Location = New-Object System.Drawing.Size(30,80) $objCombobox.Size = New-Object System.Drawing.Size(200,20) $objCombobox.Height = 70 $objForm.Controls.Add($objCombobox) $objForm.Topmost = $True $objForm.Add_Shown({$objForm.Activate()}) $objCombobox.Items.AddRange($user) #User werden aus der Variable geladen und angezeigt $objCombobox.SelectedItem #ausgewählter Username wird übernommen #$objCombobox.Add_SelectedIndexChanged({ }) #Drop DownFeld für Gruppen #User aus dem Ad anzeigen $objLabel = New-Object System.Windows.Forms.Label $objLabel.Location = New-Object System.Drawing.Size(28,110) $objLabel.Size = New-Object System.Drawing.Size(1000,20) $objLabel.Text = "Bitte Gruppennamen wählen:" $objForm.Controls.Add($objLabel) $objCombobox1 = New-Object System.Windows.Forms.Combobox $objCombobox1.Location = New-Object System.Drawing.Size(30,130) $objCombobox1.Size = New-Object System.Drawing.Size(200,20) $objCombobox1.Height = 70 $objForm.Controls.Add($objCombobox1) $objForm.Topmost = $True $objForm.Add_Shown({$objForm.Activate()}) $objCombobox1.Items.AddRange($gruppen) #User werden aus der Variable geladen und angezeigt $objCombobox1.SelectedItem #ausgewählter Username wird übernommen #$objCombobox.Add_SelectedIndexChanged({ }) #Kalender $objLabel = New-Object System.Windows.Forms.Label $objLabel.Location = New-Object System.Drawing.Size(28,180) $objLabel.Size = New-Object System.Drawing.Size(1000,20) $objLabel.Text = "Enddatum wählen:" $objForm.Controls.Add($objLabel) $calendar = New-Object System.Windows.Forms.MonthCalendar $calendar.Location = New-Object System.Drawing.Point(28,200) $calendar.Size = New-Object System.Drawing.Size(175,23) $calendar.ShowTodayCircle = $false $calendar.MaxSelectionCount = 1 $objForm.Controls.Add($calendar) #OK Button $OKButton = New-Object System.Windows.Forms.Button $OKButton.Location = New-Object System.Drawing.Point(28,400) $OKButton.Size = New-Object System.Drawing.Size(75,23) $OKButton.Text = 'OK' $OKButton.DialogResult = [System.Windows.Forms.DialogResult]::OK $OKButton.Add_Click({ # Message setzen und Gruppe dem Benutzer hinzufügen bzw. abprüfen $mgm1 = "Der ausgewählte Benutzer",$objCombobox.SelectedItem,"ist bereits in der ausgewählten Gruppe",$objCombobox1.SelectedItem, "enthalten!" $mgm2 = "Benutzer wurde in die Gruppe",$objCombobox1.SelectedItem,"hinzugefügt! Gültigkeit bis",$calendar.SelectionStart if (Get-ADGroupMember $objCombobox1.SelectedItem | Where-Object {$_.SamAccountName -eq $objCombobox.SelectedItem}){ $Result = [System.Windows.Forms.MessageBox]::Show($mgm1,"Frage an den Benutzer",0) } else{ $Tag1 = $calendar.SelectionStart $Tag2 = Get-Date $Tag = ($Tag1 - $Tag2).TotalMinutes Add-ADGroupMember -Identity $objCombobox1.SelectedItem -Members $objCombobox.SelectedItem -MemberTimeToLive (New-TimeSpan -Minutes $Tag) $Result = [System.Windows.Forms.MessageBox]::Show($mgm2,"Frage an den Benutzer",0) } }) $objForm.AcceptButton = $OKButton $objForm.Controls.Add($OKButton) #Abbrechen Button $CancelButton = New-Object System.Windows.Forms.Button $CancelButton.Location = New-Object System.Drawing.Point(125,400) $CancelButton.Size = New-Object System.Drawing.Size(75,23) $CancelButton.Text = 'Cancel' $CancelButton.DialogResult = [System.Windows.Forms.DialogResult]::Cancel $objForm.CancelButton = $CancelButton $objForm.Controls.Add($CancelButton) $objForm.Topmost = $true $result = $objForm.ShowDialog() if ($result -eq [System.Windows.Forms.DialogResult]::OK) { $date = $calendar.SelectionStart Write-Host "Date selected: $($date.ToShortDateString())" } }