Im Active Directory (AD) kann sich der Administrator eigentlich sehr schön anzeigen lassen, welche Active Directory (AD)-Gruppen ein Benutzer oder ein anderes Active Directory (AD) Objekt besitzt. Leider funktioniert Copy & Paste nicht, es gibt keine Möglichkeit diese Informationen einfach und schnell zu kopieren und aufzubereiten. Leider hat Microsoft bis heute daran nichts verändert. Also bleibt dem Administrator nur der Weg über ein mitgeliefertes Windows-Tool, welches „DSGET“ heißt.

Der Befehl DSGET ist sehr umfangreich und kann zahlreiche Informationen zu einzelnen Active Directory (AD) Objekten liefern. Hier nachfolgend die Beschreibung:

C:\>dsget

Beschreibung: Dieses Befehlszeilentool zeigt die ausgewählten
Eigenschaften eines bestimmten Objekts im Verzeichnis an.

Dsget-Befehle (Parameter):

dsget computer – Zeigt Eigenschaften von Computern im Verzeichnis an.
dsget contact – Zeigt Eigenschaften von Kontakten im Verzeichnis an.
dsget subnet – Zeigt Eigenschaften von Subnetzen im Verzeichnis an.
dsget group – Zeigt Eigenschaften von Gruppen im Verzeichnis an.
dsget ou – Zeigt Eigenschaften von Organisationseinheiten im
Verzeichnis an.
dsget server – Zeigt Eigenschaften von Servern im Verzeichnis an.
dsget site – Zeigt Eigenschaften von Standorten im Verzeichnis an.
dsget user – Zeigt Eigenschaften von Benutzern im Verzeichnis an.
dsget quota – Zeigt die Eigenschaften von Datenträgern im Verzeichnis an.
dsget partition – Zeigt die Eigenschaften von Partitionen im Verzeichnis an.
Geben Sie „dsquery *„, um einen beliebigen Attributsatz im Verzeichnis
anzuzeigen (Beispiele hierfür werden weiter unten angezeigt).

Geben Sie „dsget <Objekttyp> /?“ ein, um die Syntax für einen
bestimmten Befehl anzugeben, wobei <Objekttyp> einer der oben
angezeigten Objekttypen ist. Beispiel: dsget ou /?

Anmerkungen:

Die dsget-Befehle ermöglichen Ihnen, die Eigenschaften eines bestimmten
Objekts im Verzeichnis anzuzeigen. Bei dsget wird ein Objekt eingegeben
und eine Liste der Eigenschaften für dieses Objekt angezeigt.
Verwenden Sie die dsquery-Befehle (dsquery /?), um nach allen Objekten zu
suchen, die mit den eingegebenen Suchkriterien übereinstimmen.

Die dsget-Befehle unterstützen die Verwendung von Pipes, sodass
Ergebnisse von dsquery-Befehlen als Eingabe für dsget-Befehle
weitergeleitet und detaillierte Informationen über die von den
dsquery-Befehlen ermittelten Objekte angezeigt werden können.

Kommas, die nicht als Trennzeichen in definierten Namen verwendet
werden, müssen einem umgekehrten Schrägstrich folgen („\“) (z.B.
„CN=Firma\, GmbH,CN=Benutzer,DC=microsoft,DC=com“). Umgekehrte
Schrägstriche in definierten Namen müssen einem umgekehrten
Schrägstrich folgen (z.B. „CN=Verkauf\\
Südamerika,OU=Vertriebslisten,DC=microsoft, DC=com“).

Beispiele:

Der folgende Befehl sucht nach allen Benutzern, deren Name mit „Jens“
beginnt, und zeigt deren Büronummern an:

dsquery user -name Jens* | dsget user -office

Der folgende Befehl zeigt sAMAccountName, userPrincipalName und
Abteilungsattribute des Objekts an, dessen DN
ou=Test,dc=microsoft,dc=com ist:

dsquery * ou=Test,dc=microsoft,dc=com -scope base -attr
sAMAccountName userPrincipalName department

Verwenden Sie den Befehl „dsquery *“, um alle Attribute eines Objekts
zu lesen.
Folgender Befehl zeigt alle Attribute des Objekts, dessen DN
ou=Test,dc=microsoft,dc=com ist, an:

dsquery * ou=Test,dc=microsoft,dc=com -scope base -attr *

Hilfe der Verzeichnisdienst-Befehlszeilentools:
dsadd /? – Zeigt die Hilfe für das Hinzufügen von Objekten an.
dsget /? – Zeigt die Hilfe für das Anzeigen von Objekten an.
dsmod /? – Zeigt die Hilfe für das Bearbeiten von Objekten an.
dsmove /? – Zeigt die Hilfe für das Verschieben von Objekten an.
dsquery /? – Zeigt die Hilfe für das Suchen von Objekten an, die mit
den Suchkriterien übereinstimmen.
dsrm /? – Zeigt die Hilfe für das Löschen von Objekten an.

Um nun die Active Directory Gruppen aufzulisten, die ein Benutzer hat, muss folgender Befehl verwendet werden:

dsget user cn=Username,ou=Organisationseinheit,ou=Organisationseinheit,dc=domain,dc=Endung -memberof

Dabei ist zu beachten, dass der Username der „Anzeigename“ des Active Directory (AD) -Objektes ist. Bei „ou“ müssen alle Organisationseinheiten angegeben werden, sodass es durchaus auch mehr als eine „ou“ gibt.

Danach werden in reiner Listenform die Active-Directory (AD)-Gruppen aufgelistet. Wenn Ihr noch den Parameter „>c:\temp\rechte.txt“ anhängt, so werden alle Rechte in eine TXT-Datei in den Ordner c:\temp geschrieben. Diese Datei kann dann entsprechend aufbereitet und verarbeitet werden.

Empfohlene Beiträge