Shadow Groups im Active Directory verwalten mit PowerShell

Ein weiterer häufiger Anwendungsfall sind Fine-Grained Password Policies, mit denen man Pass­wort­regeln für AD-Gruppen, aber nicht für Organizational Units definieren kann.

Ein einfaches Anliegen könnte darin bestehen, dass man sich in PowerShell anzeigen lässt, zu welchen OUs es gleichnamige Sicherheits­gruppen gibt. Das folgende Script erledigt diese Aufgabe, indem es über alle OUs iteriert und Get-ADGroup in der Schleife mit einem Filter für den Namen ausführt.

Get-ADOrganizationalUnit -Filter * | foreach{ if(Get-ADGroup -Filter {Name -eq $_.Name}){ "Shadow Group für " + $_.Name } else{"Keine Shadow Group für " + $_.Name} }

Dieses Script schränkt die Suche nicht auf bestimmte Bereiche des AD ein, sondern zieht alle OUs und Gruppen heran. Ein sinnvolles Ergebnis liefert es deshalb nur dann, wenn Namen für OUs nicht mehrfach vergeben wurden.

Abfrage auf Teilbaum des AD beschränken

Je nach vorhandener Struktur für OUs und Gruppen kann man daher den Bereich für die Abfrage eingrenzen. Befinden sich etwa alle Shadow Groups in der OU ShadowGroups, dann liegt es nahe, den Aufruf mit dem Parameter SearchBase nach diesem Muster anzupassen:

Get-ADGroup -Filter {Name -eq $_.Name} -SearchBase "OU=ShadowGroups,DC=contoso,DC=de"

Auf die gleiche Weise lässt sich auch die Auswahl der OUs mit Get-ADOrganizationalUnit steuern, wo man zusätzlich den Parameter SearchScope etwa mit dem Wert OneLevel nutzen kann, um die Suchtiefe auf eine Ebene zu reduzieren.

Diese Anmerkungen gelten auch für das nachfolgende Script, das prüft, ob namensgleiche OUs und Gruppen die gleichen Konten enthalten. Auch es erstreckt sich über die gesamte Struktur, was man mit den oben genannten Mitteln ändern kann.

OU und Gruppen synchronsieren

Verwendet man Shadow Groups, dann wird man in der Regel darauf achten, dass sie die gleichen Mitglieder enthalten wie die dazugehörige OU. Kommt etwa in der OU ein neues Konto hinzu, soll das sich das auch in der Gruppe widerspiegeln. Umgekehrt gilt das Gleiche, wo dann das betreffende Mitglied aus der Gruppe entfernt werden muss.

Diese Aufgabe könnte man natürlich auch zu Fuß erledigen, aber PowerShell erleichtert diese Arbeit und dabei hilft dabei, Abweichungen zu vermeiden.

Das folgende Script schaut, ob die OU Benutzer enthält, die in der Gruppe nicht vorkommen und fügt sie dann zu Letzterer hinzu. Diesem Zweck dient der Aufruf von Add-ADPrincipalGroupMembership, das mit dem Schalter Confirm für jedes Konto nachfragt, ob man die Aktion ausführen will.

Umgekehrt löscht es Konten aus Gruppen, die nicht mehr in der OU vertreten sind. Diesem Zweck dient das Cmdlet Remove-ADPrincipalGroupMembership.

Get-ADOrganizationalUnit -Filter * | foreach{ # Aktuelle OU speichern $OU = $_.DistinguishedName # Schauen, ob es eine mit der OU gleichnamige Gruppe gibt $shGroup = Get-ADGroup -Filter {Name -eq $_.Name} # Alle Mitglieder der OU auslesen $OUMembers = Get-ADUser -Filter * -SearchBase $OU if($shGroup){ # Mitglieder der Shadow Group auslesen $gMembers = Get-ADGroupMember -Identity $shGroup | ? objectClass -eq "user" #User finden, die in der Gruppe, aber nicht in der OU sind $gMembers | %{ if($OUmembers.Name -notcontains $_.Name){ $_.Name + " ist in Gruppe " + $shGroup.Name + ", nicht in OU $OU enthalten" Remove-ADPrincipalGroupMembership -Identity $_ -MemberOf $shGroup -Confirm } } #User finden, die in der OU, aber nicht in der Gruppe sind $OUmembers | %{ if($gMembers.Name -notcontains $_.Name){ $_.Name + " ist nicht in der Shadow-Gruppe " + $shGroup.Name Add-ADPrincipalGroupMembership -Identity $_ -MemberOf $shGroup -Confirm } } } }

Zu bedenken wäre hier noch, dass sich dieses Script nur um User Accounts kümmert. Wenn auch Computerkonten berücksichtigt werden sollen, dann müsste man sie mit Get-ADComputer aus der OU auslesen und dann im Vergleich berücksichtigen.