OU2Group

Dieses Skript nutzt PowerShell und die Windows 2008R2 Active Directory Module zur Verwaltung.

In vielen Firmen werden die Mitarbeiter in verschiedene Organisationseinheiten des Active Directory gruppiert. Leider kann eine OU nicht genutzt, werden, um allen Personen in der jeweiligen OU auch Berechtigungen z.B. auf Dateifreigaben zu geben. Hierzu sind auch weiterhin Sicherheitsgruppen erforderlich. Es ist naheliegend, dass die Pflege dieser Sicherheitsgruppen nicht der "Arbeit" eines Administrators überlassen wird, sondern automatisiert erfolgen sollte.

Das Active Directory kennt dazu leider keine internen Funktionen, so dass ein Skript herhalten muss, welches regelmäßig oder bei Änderungen der Benutzer gestartet wird.

Seit Windows 2008 R2 sind neben der PowerShell auch gleich ein paar Module für die Verwaltung von Active Directory Objekten enthalten, so dass es naheliegend ist, eine entsprechende Lösung einfach per PowerShell zu entwickeln.

Umgebung

Das Skript erwartet, dass es unter einer OU die verschiedenen Abteilungen als weitere OUs gibt (Siehe Bild oben). Die Abteilungsgruppen selbst können an beliebiger Stelle liegen, solange Sie mit einem definierten Prefix (z.B. "DEPT-") beginnen und der Rest den gleichen Namen wie die OU hat.

Die OU und das Präfix sind im Skript als Konstanten hinterlegt und können natürlich angepasst werden:

[string]$deptgroupprefix="dept-"
[string]$abteilungOUbase="ou=department,dc=w08dom,dc=test"

Das Skript erwartet sonst keinerlei Eingaben oder Parameter und kann einfach über die PowerShell ausgeführt werden:

PS> .\ou2group.ps1

Aktuell erfolgt die Ausgabe nur auf dem Bildschirm, d.h. es findet kein Logging im Eventlog, per Mail oder in einer Datei statt. Diese Funktion können Sie aber sicher sehr einfach nachrüsten.

ou2group.1.1.ps1.txt
Bitte die Erweiterung auf PS1 ändern und die Konstanten im Skript anpassen

Hinweis: Der Einsatz der Windows 2008 PowerShell Module für Active Directory erfordert mit Windows 2008/2003 DC etwas Vorarbeit. Siehe auch RSAT AD-PowerShell

Weiterentwicklung

Denkbar sind auch weitere Änderungen , die solche ein Skript umsetzen kann. Wenn Sie z.B. die Adresse oder Abteilung eines Benutzers ebenfalls an der OU fest machen können, dann kann das Skript natürlich auch gleich diese Felder anhand von Vorlagen füllen. Da Adressfelder auch im Outlook Adressbuch erscheinen, profitieren auch die Anwender davon.

Ebenso ist es möglich, eine Änderung per Mail z.B. an den Verwalter der Gruppe oder OU zu melden, so dass z.B. der Abteilungsleiter auch erfährt, dass ein neuer Mitarbeiter in der OU erscheint und in die Gruppe aufgenommen wurde.

Weitere Links