Question Remove-QADGroupMember dans une forêt
- Seals
- Auteur du sujet
- Hors Ligne
- Membre junior
- Messages : 39
- Remerciements reçus 0
J'ai des petits problème avec la cmdlet Remove-QADGroupMember pour supprimer des comptes d'utilisateurs dans une forêt avec plusieurs domaines.
Le groupe est de type universel dans mon domaine et les utilisateurs dans des autres domaines.
Dès que la suppressions se fait sur un compte d'un autre domaine, il me dit qu'il ne peut le supprimer.
Or cela fonctionne très bien avec des utilisateurs du même domaine que le groupe.
Avez vous déjà rencontré se problème ?
Voici mon script qui récupère des logins dans un fichier txt puis supprime ceux-ci si ils sont dans le groupe
----
[code:1]
$conn = Connect-QADService -Service 'condc01.contoso.i:3268'
$listeloginsupp = Get-Content -Path 'D:\Scripts\logins_absents.txt'
$Adgroup = Get-QADGroup mongroup | Get-QADGroupMember
foreach ($R_Adgroup in $Adgroup){
$macompare = compare-object $listeloginsupp $R_Adgroup.SamAccountName -IncludeEqual
ForEach ( $R_macompare in $macompare) {
if($R_macompare.sideindicator -eq \"==\"«») {
Write-Host ($R_macompare.InputObject)
Remove-QADGroupMember mongroup -Member $R_Adgroup.DN -Connection $conn -UseGlobalCatalog
}
}
}
[/code:1]
Merci.
Connexion ou Créer un compte pour participer à la conversation.
- Matthew BETTON
- Hors Ligne
- Membre platinium
- Messages : 968
- Remerciements reçus 0
Premier conseil : Mettre en cache les groupes universels , si ce n'est pas déjà fait.
Dès que la suppression se fait sur un compte d'un autre domaine, il me dit qu'il ne peut le supprimer.
Quel est le message d'erreur ?
Or cela fonctionne très bien avec des utilisateurs du même domaine que le groupe.
C'est peut être là qu'est le problème. A première vue, ton code fait systématiquement la suppression du membre sur le DC 'condc01.contoso.i', donc toujours dans le même domaine.
Je n'utiliserais pas 'Connect-QADService' mais plutôt directement le paramètre '-Service' sur la Cmdlet 'Remove-QADGroupMember', en spécifiant, dans chaque cas, le FQDN du DC concerné.
Aussi, pour la valeur du premier paramètre de 'Remove-QADGroupMember' (Le paramètre positionné à la première place est ' -Identity '), je ne spécifierai pas le nom du groupe, mais son Distinguished Name (DN).
[code:1]$DN = (Get-QADGroup mongroup -service monDC.contoso.com).dn
[/code:1]
Enfin, quand \"ça plante\", réessayes de le faire en utilisant, dans ta console PowerShell, la Cmdlet 'Remove-QADGroupMember' et en spécifiant \"à la main\" les paramètres, pour un groupe et un membre donnés ... Histoire de comprendre finalement ce qui cloche
@ +
Matthew
Connexion ou Créer un compte pour participer à la conversation.
- Matthew BETTON
- Hors Ligne
- Membre platinium
- Messages : 968
- Remerciements reçus 0
Ce n'est pas très long et ça permet de bien comprendre la subtilité des groupes universels
<br><br>Message édité par: Matthew BETTON, à: 17/12/12 20:52Another effect of this is that when User A in Domain B is a member of a Universal Group created in Domain C, you cannot see that User A is a member of the Universal Group when you look at him in ADUC in Domain B. But you can see that he is a member when you look at the Universal Group’s members in Domain C.
So the Global Catalog is an illusion and saying that you replicate something to it is nonsense. What you are doing is applying a filter to objects.
Connexion ou Créer un compte pour participer à la conversation.
- Matthew BETTON
- Hors Ligne
- Membre platinium
- Messages : 968
- Remerciements reçus 0
On ne met pas des comptes utilisateurs dans des groupes Universels
Quelques informations sur le sujet.
Les comptes utilisateurs dans des groupes globaux, les groupes globaux dans des groupes universels...
Et ce sont les groupes locaux qui sont utilisés pour poser des permissions.
Connexion ou Créer un compte pour participer à la conversation.
- Vous êtes ici :
- Accueil
- forum
- PowerShell
- Entraide pour les initiés
- Remove-QADGroupMember dans une forêt