Active Directory: Gruppen und ihre Mitglieder als CSV-Report speichern mit PowerShell

Die Dokumentation der Gruppen­mitglied­schaften kann man von zwei Seiten angehen: Man schaut entweder, welche Benutzer eine Gruppe enthält oder umgekehrt, in welchen Gruppen ist ein Benutzer Mitglied ist.

Sind Gruppen der Ausgangs­punkt, dann erhält man diese mit dem Cmdlet Get-ADGroup. Dabei hat man die Möglichkeit, das Ergebnis der Abfrage mit Hilfe der Parameter Filter, SearchBase oder GroupScope eingrenzen (siehe dazu: AD-Gruppen mit PowerShell anzeigen, erstellen und Benutzer hinzufügen).

Für das Auslesen ihrer Mitglieder ist es wichtig, dass man den Aufruf um den Parameter

-Properties member

ergänzt, weil das Cmdlet diese Eigenschaft standard­mäßig nicht zurückgibt. Sie enthält die User in Form ihres Distinguished Name.

Die Schwierigkeit besteht nun darin, den Namen der Gruppe und der Mitglieder mit einem Ausdruck auszugeben. Diese Aufgabe erledigt der Aufruf von Select-Object, das zuerst den Namen der Gruppe liefert und dann im zweiten Argument die Pipeline-Variable $_ an eine weitere Instanz von Select-Object übergibt, um die Eigenschaft member zu expandieren.

Get-ADGroup -Filter * -Properties member | select @{n="Name der Gruppe";e={$_.Name}}, @{n="Mitglieder";e={ @($_ | select -ExpandProperty member)}} | Export-Csv -NoTypeInformation -Path .\gmember.csv -Encoding UTF8

Dieses Beispiel liest sämtliche Gruppen aus dem Active Directory aus erzeugt mit Hilfe einer Calculated Property die passenden Spalten­überschriften. Schließlich schreibt Export-Csv das Ergebnis in eine CSV-Datei.

Gruppenmitgliedschaften von Benutzern auslesen

Nähert man sich der Aufgabe von der Seite der Benutzer, um festzustellen, in welchen Gruppen sie enthalten sind, dann startet man mit Get-ADUser. Wie bei Get-ADGroup kann man die Abfrage anhand verschiedener Filter eingrenzen, um nur die erwünschten Objekte zu erhalten.

Das folgende Beispiel geht wieder davon aus, dass man für sämtliche User dokumentieren möchte, in welchen Gruppen diese Mitglied sind. Um den Namen des Users und der ihm zugeord­neten Gruppen zusammen auszugehen, bedient sich der Befehl wieder des oben beschrieben Aufrufs von Select-Object:

Get-AdUser -Filter * -Properties PrimaryGroup, MemberOf | Select-Object @{n="Name";e={$_.SamAccountName}}, ` @{n="Primäre Gruppe"; e={ ($_ | Select-Object -ExpandProperty PrimaryGroup)}},` @{n="Gruppen";e = {($_|Select-Object -ExpandProperty MemberOf)}} | Export-Csv -Path .\ugroups.csv -Encoding UTF8

Nachdem das Attribut MemberOf die primäre Gruppe nicht enthält, fragt man beide über den Parameter Properties separat ab.

Eine andere Variante zur Ermittlung der Gruppen­mit­gliedschaft von Benutzern bedient sich nicht der User-Attribute PrimaryGroup und MemberOf, sondern reicht die gefundenen User an das Cmdlet Get-ADPrincipalGroupMembership weiter. Dieses gibt auch die primäre Gruppe gleich an der ersten Position mit aus:

Get-ADUser -Filter * | select @{n="Benutzer";e={$_.SamAccountname}},` @{n="Gruppen";e={((Get-ADPrincipalGroupMembership -Identity $_).SamAccountName)}}| Export-Csv -NoTypeInformation -Path .\ugroups.csv -Encoding UTF8

Der Vorteil dieser Variante besteht darin, dass man die Gruppen­namen nicht zwangsläufig als Distinguished Name ausgeben muss, sondern wie im obigen Beispiel auch den einfacheren SamAccountName nehmen kann.