Flexible Security for Your Peace of Mind

So können Sie mehrere Active Directory-Benutzerattribute gleichzeitig ändern

(Zuletzt aktualisiert am December 21, 2020)

Active Directory Benutzerattribute umfassen oft umfangreiche Informationen über Benutzer, einschließlich Telefonnummern, Abteilung, Standort und vieles mehr. Diese Informationen sind jedoch nur nützlich, wenn sie auf dem aktuellen Stand sind. Das kann bedeuten, dass ein einzelnes Attribut aktualisiert werden muss, z. B. wenn ein Benutzer eine neue Telefonnummer bekommt. Aber es kann auch vorkommen, dass mehrere Vorgänge gleichzeitig durchgeführt werden müssen, z. B. wenn nach dem Umzug eines Unternehmens dutzende Benutzerstandorte gleichzeitig aktualisiert werden müssen.

Verwaltung von Benutzerattributen mit ADUC

Das Verwaltungstool “Active Directory Users and Computers” bietet nur eingeschränkte Möglichkeiten zur gleichzeitigen Änderung mehrerer Benutzerkontenattribute. Administratoren können mehrere Benutzerkonten auswählen, mit der rechten Maustaste darauf klicken und dann aus dem Kontextmenü den Befehl Properties wählen. In dem daraufhin angezeigten Fenster können Administratoren einige einfache Aktualisierungen vornehmen, wie die Eingabe der Benutzerbeschreibung oder der Niederlassung. Häufiger jedoch werden mehrere gleichzeitige Änderungen über die PowerShell vorgenommen.

Gleichzeitige Änderung mehrerer Benutzerkontenattribute mit der PowerShell

Allgemein sind bei der Verwendung der PowerShell für die gleichzeitige Änderung mehrerer Benutzerkontenattribute zwei Schritte nötig. Zuerst müssen die Benutzerkonten, die geändert werden sollen, festgelegt werden. Dann wird die eigentliche Änderung vorgenommen.

Es gibt verschiedene Möglichkeiten, die zu ändernden Konten festzulegen. Angenommen, alle Benutzer der Redmonder Niederlassung eines Unternehmens wurden nach Miami verlegt. In diesem Fall kann die Personalabteilung der IT-Abteilung eine CSV-Datei mit einer Liste der verlegten Mitarbeiter bereitstellen. Mit dem Cmdlet „Import-CSV“ können sie dann die CSV-Datei einlesen. Anschließend müssten Sie eine Schleife einrichten, um alle in der CSV-Datei aufgeführten Konten zu verarbeiten.

Natürlich ist es auch möglich, dass die Personalabteilung der IT-Abteilung keine Liste bereitstellt, sondern ihr einfach mitteilt, dass alle aus Redmond nach Miami umziehen. In diesem Fall müssen Sie anhand der vorhandenen Benutzerkontenattribute selbst eine Benutzerliste erstellen. Sie finden alle Benutzer der Redmond Niederlassung mit dem folgenden Befehl:

Get-ADUser -Filter ‘Office -eq “Redmond”’

Da jedoch das Ziel letztlich die Änderung des Standorts der Benutzer ist, besteht eine bessere Lösung darin, mit dem folgenden Befehl die Ausgabe dieses Befehls einer Variablen zuzuordnen:

$A = Get-ADUser -Filter ‘Office -eq “Redmond” ‘ -Property *

Falls Sie sich wundern, der „Property“-Schalter wurde hinzugefügt, um auf die Eigenschaft Niederlassung („Office“) zugreifen zu können. Sie können die Benutzer und ihre Niederlassung mit diesem Befehl anzeigen:

$A | Select-Object Name, Office

Als Nächstes ändern Sie mithilfe von „Set-ADUser location“ die Niederlassung des Benutzers. Wenn jedoch mehr als ein Benutzerkonto geändert werden soll, müssen Sie eine „ForEach“-Suche verwenden, um sicherzustellen, dass jeweils nur ein Benutzerkonto verarbeitet wird. So sieht die Schleife aus:

ForEach ($User in $A){Set-ADUser -Identity $User -Office ‘Miami’}

Wenn dieser Befehl ausgeführt wurde, müssen wir prüfen, ob die Änderung erfolgreich war. Das geht am einfachsten mit dem Befehl „Get-ADUser“, mit dem eine Liste der Benutzer in der Miami Niederlassung angezeigt wird. So sieht der Befehl aus:

Get-ADUser -Filter ‘Office -eq “Miami” ‘ -Property * | Select-Object Name, Office

Die gesamte Befehlskette sieht wie folgt aus:

Auf diese Weise können Sie mit der PowerShell mehrere Active Directory-Benutzerattribute gleichzeitig ändern.
Wie Sie sehen, ist es mühsam, zeitaufwendig und fehleranfällig, zahlreiche Änderungen an Active Directory-Attributen über die PowerShell vorzunehmen. Es gibt jedoch eine bessere Möglichkeit. Anstatt die IT-Abteilung zu zwingen, Active Directory-Attribute zu pflegen, kann man den Benutzern die Möglichkeit geben, ihre Active Directory-Attribute selbst zu verwalten. So können sie ihre Konten entsprechend anpassen, wenn sie eine neue Telefonnummer bekommen, in eine andere Niederlassung versetzt werden oder andere Veränderungen stattfinden.

Benutzern die Möglichkeit geben, ihre Mobilfunknummer mit Specops zu verwalten

Wenn Benutzer ihre Mobilfunknummer selbst ändern können, ist das für alle Beteiligten hilfreich. So kann der Endbenutzer die Änderung schnell vornehmen, ohne sich an den Helpdesk wenden zu müssen. Mit Specops uReset können Benutzer ihre Mobilfunknummer verwalten, wenn sie sich für die Self-Service-Lösung zum Zurücksetzen des Kennworts registrieren. So wird nicht nur sichergestellt, dass ihre Kontaktinformationen immer auf dem neuesten Stand sind, sondern die Benutzer erhalten auch eine sichere Möglichkeit, ihre Identität zu verifizieren (über SMS-Codes), wenn sie sich an ihrem Konto anmelden oder ihr Kennwort zurücksetzen.

Für weitere Informationen über die Specops-Lösung zum Passwort-Reset oder für eine kostenlose Testversion klicken Sie hier.

Autor: Brien Posey

Brien Posey ist freiberuflicher Autor, Redner und 15-facher Microsoft-MVP mit über 20 Jahren IT-Erfahrung.

Zurück zum Blog