Seite wählen

Nehmen wir an, wir haben mehrere Active Directories, die einen Full-Trust haben (dies ist Voraussetzung, dass dies überhaupt funktioniert) und wir möchten nun eine Gruppe aus dem einen Active Directory in eine andere Gruppe aus dem zweiten AD verschachteln. Dies geht via Powershell nur mit Umwegen, da nach meinen Beobachtungen das Powershell-Modul “ActiveDirectory” nicht mit mehreren Domains umgehen kann. Daher müssen wir zuerst alle Informationen einer Gruppe aus dem ersten Active Directory in eine Variable laden und danach entsprechend mit der Variable zusammen im zweiten Active Directory die Verschachtelung vornehmen. Das ganze sieht dann wie folgt aus:

$forestAAAGroup = Get-ADGroup %GROUPNAMECORP% -server corp.company.com
Add-ADGroupMember -server othercorp.company.com -Identity %GROUPNAMEOTHERCORP% -Members $forestAAAGroup

Erklärung des Skripts

%GROUPNAMECORP%: Gruppe, welche schlussendlich in der Gruppe %GROUPNAMEOTHERCORP% verschachtelt, also ein Mitglied von der Gruppe %GROUPNAMEOTHERCORP% sein soll. Muss mit dem Namen der entsprechenden Gruppe vor Ausführung ausgetauscht werden.

%GROUPNAMEOTHERCORP%: siehe oben. Muss mit dem Namen der entsprechenden Gruppe vor Ausführung ausgetauscht werden.

-server: definiert das Active directory, welches angefragt werden soll. Dies muss entsprechend auf die zwei zu verwendenden Active Directories in beiden Zeilen angepasst werden.

Vorbedingungen

Damit das Skript korrekt durchläuft, muss es mit einem berechtigen Domainuser (muss Zugriff aufs Active Directory haben, Powershell muss nicht als Admin ausgeführt werden) auf einem Computer/Server ausgeführt werden, welcher folgende Bedingungen erfüllt:

  • Domain Joined
  • Hat das Powershell Modul “ActiveDirectory” installiert: https://docs.microsoft.com/en-us/powershell/module/addsadministration
    Dieses Modul wird entweder direkt vor dem Skript via Befehl “Import-Module ActiveDirectory” oder via Installation des Windows Features “AD DS and AD LDS Tools”
  • Der Server muss auf beide Active Directories zugreifen können.