Mar 15, 2024, updated at 19:47:48 (UTC)

698

Gruppenberechtigungen eines Benutzers in anderer Domäne anzeigen

Hallo, wir haben 2 Domänen die eine Vertrauensstellung haben.
Wenn ich nun ein Benutzer aus der AD1 in einer Sicherheitsgruppe in der AD2 hinzufüge, sehe ich in seinem Benutzerkonto nur die Gruppenzugehörigkeiten in der AD1 in der er auch angelegt wurde.

Was habe ich für Möglichkeiten auch die Gruppenzugehörigkeiten in der AD2 zu sehen?
Gibt es ein Tool was das kann oder geht es über ein PowerShell Script?

Ich habe danach gesucht wie es mit PS gehen soll, mir fehlt scheinbar der passende Begriff um ans Ziel zu kommen.

Please also mark the comments that contributed to the solution of the article

Content-Key: 72794180035

Url: https://administrator.de/contentid/72794180035

Printed on: April 27, 2024 at 12:04 o'clock

14 Comments

Latest comment

haben 2 Domänen die eine Vertrauensstellung haben.

Two-Way oder Oneway ? Gruppentyp?

Get-ADPrincipalGroupMembership -Identity "CN=Max Muster,DC=domainA,DC=de" -Server yyy.de -ResourceContextServer xxxx.de  

https://learn.microsoft.com/en-us/powershell/module/activedirectory/get- ...

If you want to search for local groups in another domain, use the ResourceContextServer parameter to specify the alternate server in the other domain.

Funktioniert leider auch nur mit Benutzern die in der jeweiligen Domäne.
Ich habe es auch auf beiden DCs direkt getestet.
Bei Identity kann ich auch nur den Benutzernamen angeben. auf @... bekomme ich nur Fehlermeldungen.
In dem Link vn dir sehe ich auch nur Beispiele von z.b. administrator als Identity angegeben wurde.

Von Fragen beantworten hälst du wohl nix ...dann beantworte ich auch keine mehr. Frridaag
🖖🐟

Doch nur kann ich mit Two-Way und Oneway nichts anfangen. Bei Backups schon eher aber nicht für diesen Anwendungsfall.
Der Gruppentyp nennt sich Sicherheitsgruppe - Lokal (in Domäne)
Dieser Typ ist soweit ich weiß der einzige in der ich die andere Domäne auswähen kann um Benutzer hinzuzufügen.

Zitat von @svenpaush:

Doch nur kann ich mit Two-Way und Oneway nichts anfangen.

Dann solltest du dich erst mal belesen, ist nämlich essentiell ...
https://www.msxfaq.de/windows/domaintrust.htm

Ok verstanden. Die beiden Domänen sind gleichberechtigt.
Also Two Way. Wusste nicht das es so heißt.

S. Ergänzung ganz oben.

Leider auch nicht besser.
Der testuser der DomainA ist in DomainB in einer Gruppe.

ps> get-ADPrincipalGroupMembership -Identity "CN=testuser,DC=domainA,DC=local" -Server dc.domainB.de -ResourceContextServer dc.domainB.de  
Get-ADPrincipalGroupMembership : Unter "DC=domainB,DC=de" kann kein Objekt mit der ID  
"CN=testuser,DC=domainA,DC=local" gefunden werden.  
In Zeile:1 Zeichen:1
+ Get-ADPrincipalGroupMembership -Identity "CN=testuser,DC=domainA,DC=l ...  
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (CN=testuser,DC=domainA,DC=local:ADPrincipal) [Get-ADPrincipalGroupMembe
   rship], ADIdentityNotFoundException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,M
   icrosoft.ActiveDirectory.Management.Commands.GetADPrincipalGroupMembership

"CN=testuser,DC=domainA,DC=local"

*Kopfschüttel*, das hast du jetzt nicht wirklich so eingetragen

😂??. Gib das mal jemanden der sein Handwerk versteht und der weiß was der DistinguishedName eines Users ist. ...
Nee nee nee

Natürlich habe ich bei DC=domainA... etwas anderes stehen oder was meinst du?

Zitat von @svenpaush:

Natürlich habe ich bei DC=domainA... etwas anderes stehen oder was meinst du?

Nee an dem Ort kann der User niemals liegen ... da muss schon noch ne OU oder Container dazwischen, lass es dir doch einfach anzeigen wenn du das Konzept nicht verstehst.

(Get-ADUser MaxMuster).DistinguishedName

OMG.

Ja das gleiche Wie aus dem Atrribut Editor aber egal ich habe es dann noch einmal versucht und wieder die Ferhlermeldung bekommen ^^.

Per GUI in der MMC von AD2

Doppelklick auf den User im Container ForeignSecurityPrincipals

Mitgliedschaften des User anzeigen lassen

Per Powershell

# abzufragender Username
$username = 'MaxMuster'  
# DistinguishedName von AD2 
$remotedn = 'DC=otherdomain,DC=internal'  
[adsisearcher]::new("LDAP://$remotedn","(&(objectClass=group)(member=CN=$((Get-ADUser $username).SID),CN=ForeignSecurityPrincipals,$remotedn))",'cn','Subtree').FindAll() | %{$_.Properties['cn'][0]}  

oder so gehts auch

# abzufragender Username
$username = 'MaxMuster'    
# FQDN des DC von AD2
$otherdc = 'dc.otherdomain.internal'  
# DistinguishedName von AD2
$remotedn = 'DC=otherdomain,DC=internal'  
Get-ADObject -Server $otherdc -LDAPFilter "(&(objectClass=group)(member=CN=$((Get-ADUser $username).SID),CN=ForeignSecurityPrincipals,$remotedn))"  

All tested. Done.

Guten Morgen, vielen Dank für deine Hilfe. Beide Powershell Scripte funktionieren.
Diesen anderen Weg über die Gui habe ich noch nicht ausprobiert. Werde ich wohl auch nicht weil viel zu unmständlich und Fehleranfällig die uuid rauszusuchen etc.
Mit der Powershell geht es einfach viel viel schneller.

/Nachtrag

Über die Gui gibt es den Anzeigenamen, hatte ich übersehen. Darüber ist es natürlich wieder Benutzerfreundlicher.
In der Ansicht muss dafür Erweiterte Features angehakt sein um die OU ForeignSecurityPrincipals zu sehen.

German solved Question Microsoft