Question Remove-QADGroupMember dans une forêt

Plus d'informations
il y a 11 ans 3 mois #13335 par Seals
Bonjour,

J'ai des petits problème avec la cmdlet Remove-QADGroupMember pour supprimer des comptes d'utilisateurs dans une forêt avec plusieurs domaines.

Le groupe est de type universel dans mon domaine et les utilisateurs dans des autres domaines.
Dès que la suppressions se fait sur un compte d'un autre domaine, il me dit qu'il ne peut le supprimer.

Or cela fonctionne très bien avec des utilisateurs du même domaine que le groupe.

Avez vous déjà rencontré se problème ?

Voici mon script qui récupère des logins dans un fichier txt puis supprime ceux-ci si ils sont dans le groupe
----
[code:1]
$conn = Connect-QADService -Service 'condc01.contoso.i:3268'
$listeloginsupp = Get-Content -Path 'D:\Scripts\logins_absents.txt'
$Adgroup = Get-QADGroup mongroup | Get-QADGroupMember
foreach ($R_Adgroup in $Adgroup){
$macompare = compare-object $listeloginsupp $R_Adgroup.SamAccountName -IncludeEqual
ForEach ( $R_macompare in $macompare) {
if($R_macompare.sideindicator -eq \"==\"«») {
Write-Host ($R_macompare.InputObject)
Remove-QADGroupMember mongroup -Member $R_Adgroup.DN -Connection $conn -UseGlobalCatalog
}
}
}

[/code:1]

Merci.

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 11 ans 3 mois #13338 par Matthew BETTON
Bonsoir,

Premier conseil : Mettre en cache les groupes universels , si ce n'est pas déjà fait.

Dès que la suppression se fait sur un compte d'un autre domaine, il me dit qu'il ne peut le supprimer.


Quel est le message d'erreur ?

Or cela fonctionne très bien avec des utilisateurs du même domaine que le groupe.


C'est peut être là qu'est le problème. A première vue, ton code fait systématiquement la suppression du membre sur le DC 'condc01.contoso.i', donc toujours dans le même domaine.

Je n'utiliserais pas 'Connect-QADService' mais plutôt directement le paramètre '-Service' sur la Cmdlet 'Remove-QADGroupMember', en spécifiant, dans chaque cas, le FQDN du DC concerné.

Aussi, pour la valeur du premier paramètre de 'Remove-QADGroupMember' (Le paramètre positionné à la première place est ' -Identity '), je ne spécifierai pas le nom du groupe, mais son Distinguished Name (DN).

[code:1]$DN = (Get-QADGroup mongroup -service monDC.contoso.com).dn
[/code:1]

Enfin, quand \"ça plante\", réessayes de le faire en utilisant, dans ta console PowerShell, la Cmdlet 'Remove-QADGroupMember' et en spécifiant \"à la main\" les paramètres, pour un groupe et un membre donnés ... Histoire de comprendre finalement ce qui cloche ;)

@ +

Matthew

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 11 ans 3 mois #13339 par Matthew BETTON
Une petite explication sur les groupes universels et les GC ici .

Ce n'est pas très long et ça permet de bien comprendre la subtilité des groupes universels :)

Another effect of this is that when User A in Domain B is a member of a Universal Group created in Domain C, you cannot see that User A is a member of the Universal Group when you look at him in ADUC in Domain B. But you can see that he is a member when you look at the Universal Group’s members in Domain C.

So the Global Catalog is an illusion and saying that you replicate something to it is nonsense. What you are doing is applying a filter to objects.

<br><br>Message édité par: Matthew BETTON, à: 17/12/12 20:52

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 11 ans 3 mois #13340 par Matthew BETTON
J'oubliais de le signaler. Une bonne pratique :

On ne met pas des comptes utilisateurs dans des groupes Universels ;)

Quelques informations sur le sujet.

Les comptes utilisateurs dans des groupes globaux, les groupes globaux dans des groupes universels...

Et ce sont les groupes locaux qui sont utilisés pour poser des permissions.

Connexion ou Créer un compte pour participer à la conversation.

Temps de génération de la page : 0.072 secondes
Propulsé par Kunena