CreateUserGUI_V1.ps1:

Einer der anstregendsten Aufgaben, die Administratoren durchführen, ist das Anlegen neuer Benutzer. Wenn wir 50 bis 100 Nutzer anlegen müssen, wird man uns bei einer Reihe von sehr starren Mausklicks beobachten können. In diesem Fall sollte muss ein Powershell-Skript mit Hilfe einer csv-Datei zum Einsatz kommen.

Die o.a. GUI ist eher für die Benutzeranlage für einige wenige Benutzer während des Betriebs gedacht. Diese ist auf unseren Betrieb angepasst und erstellt zusätzlich auf einem Fileserver ein Benutzerordner, wo nur der angelegte Benutzer Schreibrechte hat + Administratoren.

Das Skript ist einfach aufgebaut. Man trägt die Daten für den Benutzer ein, wählt die OU und die Gruppen aus, wo der oder die Benutzer Mitglied werden soll.

[System.Reflection.Assembly]::LoadWithPartialName("System.Drawing")
[System.Reflection.Assembly]::LoadWithPartialName("System.windows.forms") 

[system.windows.forms.messagebox]::Show("Only run in Quest Powershell!")

Function createmailbox{
	#Pfad zum Laufwerk, welches ggf. für den Benutzer angelegt werden soll
	$path = "\\Server-IP-Address\datenaustausch\"

	#Richtige Domäne eintregen
	$objUser = [ADSI]“LDAP://localhost:389/dc=domain,dc=com”

	$OU = $OUhash1[$ouOuNameDrop.SelectedItem.ToString()]
	$OU = $OU.substring($OU.lastindexof("/")+1)
	$TSOU=[ADSI]“LDAP://localhost:389/ou=$OU,OU=Companies,dc=domain,dc=com”

	if($TSOU.true){

	foreach($row in $dgDataGrid.rows){
		if ($row.Cells[0].Value -ne $null){

			$CN=$row.Cells[1].Value + " " + $row.Cells[0].Value								

			$SN=$row.Cells[1].Value									

			$title="#"

			$description=$row.Cells[3].Value

			$department="#"

			$streetAddress=$row.Cells[5].Value

			$postalcode=$row.Cells[4].Value

			$telephoneNumber=$row.Cells[6].Value

			$givenName=$row.Cells[0].Value	

			$company=$row.Cells[7].Value	

			$mail="#"

			$userPrincipalName=$row.Cells[2].Value + "@domain.com"

			$Samaccountname=$row.Cells[2].Value

			$group1Name=$UD.Gruppe1inOU

			$group2Name=$UD.Gruppe2inOU

			$group3Name=$UD.Gruppe3

			$group4Name=$UD.Gruppe4

			$group5Name=$UD.Gruppe5

			$group6Name=$UD.Gruppe6

			$group7Name=$UD.Gruppe7

			$Location="Deutschland"

			$User=$TSOU.create(“user”,”cn=$cn”)

			$User.Put(“sAMAccountName”,$Samaccountname)

			$User.put(“SN”,$SN)

			$User.put(“Title”,$title)

			$User.put(“Description”,$description)

			$User.put(“department”,$department)

			$User.put(“streetAddress”,$streetAddress)

			$User.put(‘telephoneNumber’,$telephoneNumber)

			$User.put(‘givenName’,$givenName)

			$User.put(‘company’,$company)

			$User.put(‘mail’,$mail)

			$User.put(‘L’,$Location)

			$User.put(‘userPrincipalName’,$userPrincipalName)

			$User.setinfo()

			$User.psbase.Invoke(“SetPassword”,”Caliber1”)

			$User.psbase.InvokeSet(‘Accountdisabled’,$false)

			$User.psbase.CommitChanges()

			write-host "Bitte 5 Sekunden warten - Benutzer wird angelegt..." + $result
			[System.Threading.Thread]::Sleep(5000)
			[system.windows.forms.messagebox]::Show("User " + $row.Cells[0].Value + " " + $row.Cells[1].Value + " created")

			foreach ($objItem in $objListbox.SelectedItems)
   			{
				$group = $Grouphash1[$objItem]
				$groupname = $group.substring($group.lastindexof("/")+1)
				Write-Host $groupname

				Add-QADGroupMember  -Identity $groupname -Member $row.Cells[2].Value
			}

			if ($checkbox.Checked)
			{

			write-host "Datenaustauschlaufwerk anlegen..."

			if (!(Test-Path ($path + $row.Cells[2].Value))){
				new-item -path $path -name $row.Cells[2].Value -type directory
			}else {
				Write-Host $row.Cells[2].Value " folder already exists"
 			}

  			$Acl = Get-Acl ($path+ "\" + $row.Cells[2].Value)
    		$Ar = New-Object system.security.accesscontrol.filesystemaccessrule($row.Cells[2].Value,"Modify","ContainerInherit,ObjectInherit","None","Allow")
    		$acl.setAccessRule($ar)
    		Set-Acl ($path + "\" + $row.Cells[2].Value) $acl

			Write-Host "Datenaustauschlaufwerk wurde erfolgreich angelegt"
			}
		}
	}

	}else{Write-host “Error OU doesn’t exist to proceed further, please create one” -foregroundcolor RED}

}

$OUhash1 = @{ }
$Grouphash1 = @{ }
$MBhash1 = @{ }

$form = new-object System.Windows.Forms.form
$form.Text = "Quick User Create Form"
$form.size = new-object System.Drawing.Size(910,520) 

$msTable = New-Object System.Data.DataTable

$msTable.TableName = "GroupName"
$msTable.Columns.Add("FirstName")
$msTable.Columns.Add("LastName")
$msTable.Columns.Add("UserName")
$msTable.Columns.Add("Description")
$msTable.Columns.Add("Postal-Code")
$msTable.Columns.Add("StreetAddress")
$msTable.Columns.Add("Telephone")
$msTable.Columns.Add("Company")

# Add DataGrid View

$dgDataGrid = new-object System.windows.forms.DataGridView
$dgDataGrid.Location = new-object System.Drawing.Size(10,10)
$dgDataGrid.size = new-object System.Drawing.Size(870,200)
$dgDataGrid.AutoSizeRowsMode = "AllHeaders"
$form.Controls.Add($dgDataGrid)

$dgDataGrid.DataSource = $msTable

# Add OU Drop Down
$ouOuNameDrop = new-object System.Windows.Forms.ComboBox
$ouOuNameDrop.Location = new-object System.Drawing.Size(100,260)
$ouOuNameDrop.Size = new-object System.Drawing.Size(230,30)
$ouOuNameDrop.Items.Add("/Users")
$OUhash1.Add("/Users","Users")
$root = [ADSI]''
$searcher = new-object System.DirectoryServices.DirectorySearcher($root)
$searcher.Filter = '(objectClass=organizationalUnit)'
$searcher.PropertiesToLoad.Add("canonicalName")
$searcher.PropertiesToLoad.Add("Name")
$searcher1 = $searcher.FindAll()
foreach ($person in $searcher1){
[string]$ent = $person.Properties.canonicalname
$OUhash1.Add($ent.substring($ent.indexof("/"),$ent.length-$ent.indexof("/")),$ent)
$ouOuNameDrop.Items.Add($ent.substring($ent.indexof("/"),$ent.length-$ent.indexof("/")))
}
$form.Controls.Add($ouOuNameDrop)

$objListbox = New-Object System.Windows.Forms.Listbox
$objListbox.Location = New-Object System.Drawing.Size(435,220)
$objListbox.Size = New-Object System.Drawing.Size(445,250) 

$objListbox.SelectionMode = "MultiExtended"

$objListbox.Height = 250

$form.Controls.Add($objListbox)

# Add OU DropLable
$ouOuNamelableBox = new-object System.Windows.Forms.Label
$ouOuNamelableBox.Location = new-object System.Drawing.Size(10,260)
$ouOuNamelableBox.size = new-object System.Drawing.Size(100,20)
$ouOuNamelableBox.Text = "OU Name"
$form.Controls.Add($ouOuNamelableBox) 

# Add Group Drop Down
$searcherGroup = new-object System.DirectoryServices.DirectorySearcher($root)
$searcherGroup.Filter = '(objectClass=group)'
$searcherGroup.PropertiesToLoad.Add("canonicalName")
$searcherGroup1 = $searcherGroup.FindAll()
foreach ($person2 in $searcherGroup1){
[string]$ent = $person2.Properties.canonicalname
$Grouphash1.Add($ent.substring($ent.indexof("/"),$ent.length-$ent.indexof("/")),$ent)
$objListbox.Items.Add($ent.substring($ent.indexof("/"),$ent.length-$ent.indexof("/")))
}  

# Add Group DropLable
$snServerNamelableBox = new-object System.Windows.Forms.Label
$snServerNamelableBox.Location = new-object System.Drawing.Size(380,220)
$snServerNamelableBox.size = new-object System.Drawing.Size(100,20)
$snServerNamelableBox.Text = "Groups:"
$form.Controls.Add($snServerNamelableBox) 

# create radiobutton1
$checkbox = New-Object Windows.Forms.checkbox
$checkbox.text = "Datenaustauschlaufwerk anlegen?"
$checkbox.height = 20
$checkbox.width = 200
$checkbox.top = 300
$checkbox.left =10
$form.controls.add($checkbox)

# Add Create Button

$crButton = new-object System.Windows.Forms.Button
$crButton.Location = new-object System.Drawing.Size(10,360)
$crButton.Size = new-object System.Drawing.Size(150,23)
$crButton.Text = "Create User"
$crButton.Add_Click({CreateMailbox})
$form.Controls.Add($crButton)

$form.topmost = $true
$form.Add_Shown({$form.Activate()})
$form.ShowDialog()

Die letzten Tage waren wirklich spannend. Bis vor dem iOS4 Update hatte ich kein Exchange Konto bei mir im Telefon eingetragen. Nun wollte ich das doch auch mal testen, Unified Inbox sei dank.

Problembeschreibung

Nun zum Problem:

• Serverdaten
• Domäne
• Benutzername
• Passwort

alles eingetragen. Account wird überprüft, sollte funktionieren. Bei den Syncoptionen nur Mail gewählt und schon konnte es losgehen, nicht.

Mail auf dem iPhone aufgerufen und die erste Meldung, die ich bekam, lautete “Die Verbindung zum Server ist fehlgeschlagen”. Natürlich alle Daten 5x geprüft, mit anderen Kollegen (bei denen das Exchange-Profil funktioniert) verglichen, ohne Ergebnis.

Mail.app auf dem iMac oder MacBook zeigt keinen Fehler an. Also Active Sync mit meinem Account hat wohl ein Problem.

Also die schöne Seite: https://www.testexchangeconnectivity.com/ aufgerufen und einen Test gestartet. Diese Seite testet den eigenen Exchange-Server und den angegeben Benutzeraccount auf diverse Konfigurationsprobleme u.a. mit ActiveSync.

Und es tauchte ein Fehler auf. Bei Aufruf von ActiveSync bekam ich einen Fehler 500 zurück. Berechtigungsproblem? Bin doch Exchange- und Domänenadmin?!

Lösung

Um es zu verkürzen. Lt. meiner Recherche tritt das Problem nur bei Adminkonten nach einer Exchange Migration auf. Ob dies nun “nur” Exchange-Admin-Accounts betrifft oder auch Domänen-Admins kann ich nicht genau sagen. Und zwar liegt es an der Berechtigung des Problemkontos. Dort wurden die Berechtigungen für diese Accounts nicht vererbt.

Um die Vererbung wieder zu aktivieren, startet den ADSI-Editor. Wählt den Namenskontext aus und navigiert zu dem Problemkonto. Dort unter den Reiter “Sicherheit” navigieren und die Vererbung analog zum folgenden Screenshot wieder aktivieren:

Der RDP-Client 7 ist normalerweise nur für folgende Betriebssysteme verfügbar: Windows XP Service Pack 3 (SP3), Windows Vista Service Pack 1 (SP1) und Windows Vista Service Pack 2 (SP2).

Windows 7 und Windows Server 2008 R2 bringen diese Clientversion von Haus aus mit.

Leider fehlt hier der Support vom Windows Server 2003. Beim Versuch den Client dort zu installieren, bekommt man den freundlichen Hinweis, dass das Betriebssystem nicht unterstützt wird.

Erfreulicherweise klappt die Installation mit einem kleinen Workaround trotzdem.

How-To:

Als erstes braucht ihr den Client.

www.microsoft.com/downloads/details.aspx?FamilyId=72158b4e-b527-45e4-af24-d02938a95683

Das Paket muss nun extrahiert werden. Öffnet die Kommandozeile und navigiert zum Downloadpaket. Danach gebt ihr folgenden Befehl ein:

WindowsXP-KB969084-x86-deu.exe /extract

Ihr werdet gefragt, wohin das Paket extrahiert werden soll. Speichert es am besten unter C:\RDP70.

In dem neuen Ordner findet ihr den Unterordner update. Dort liegt die Datei update.inf. Öffnet diese mit dem Editor und ändert die oberen Einträge wie folgt:

[Version]
RebootRequired=0
Signature = “$Windows NT$”
LanguageType = %LangTypeValue%
NtBuildToUpdate = 3790
NtMajorVersionToUpdate = 5
NtMinorVersionToUpdate = 2
MaxNtBuildToUpdate = 3790
MaxNtMajorVersionToUpdate = 5
MaxNtMinorVersionToUpdate = 2
MinNtServicePackVersion = 512
MaxNtServicePackVersion = 512
ThisServicePackVersion = 512
CatalogFile = %SP_SHORT_TITLE%.cat

Speichert die Datei mit folgendem Namen: update.inf.new. Die originale update.inf Datei benennt ihr in update.inf.old um.

So nun erstellen wir ein kleines Skript, welches das Update aufrufen soll. Dieses wird das Update mit der veränderten update.inf aufrufen und während der Installation die originale update.inf wieder zurückschreiben. Dies gaukelt gibt dem Update vor, es sei alles in Ordnung.

Das Skript sieht wie folgt aus:

@echo off

echo Das Paket installiert RDP 7.0 auf einem Windows Server 2003 x86.

echo Es wird in das Verzeichnis c:\rdp70 gewechselt

c:

cd "C:\RDP70\update"

echo Die originale update.inf wird durch update.inf.new ersetzt

copy update.inf.new update.inf /y

echo Update ausführen

start update.exe

ping -n 1 -w 20 1.2.3.4>nul

echo Ersetze modifizierte update.inf mit der originalen Version. Anonsten gibt der Installer einen Fehler aus.

echo Ggf. muss die Zahl hinter "ping -n 1 -w". Eine größere Nummer bedeutet eine größere Pause.

echo Wenn die Pause zu klein ist, dann erscheint ein Fehler, dass ein flasches Betriebssystem vorliegt.

echo Wenn die Pause zu groß ist, dann erscheint ein Fehler, dass die ini-Datei nicht verifiziert werden kann.

copy update.inf.old update.inf /y

Das Skript geht davon aus, dass das Paket unter C:\RDP70 liegt. Der Befehl ping -n 1 -w 20 1.2.3.4 > nul muss ggf. angepasst werden, da kommt es auf die Geschwindigkeit des Systems an. Einfach mal durchtesten. Die Fehler werden euch sagen, ob ihr zu schnell die update.inf wieder austauscht oder eben zu langsam.

Man stelle sich vor: Ein Fileserver mit diversen Gruppenberechtigungen am Dateisystem soll durch neue Sicherheitsgruppen, analog der alten Gruppen, erweitert werden.

Beispiel:

Die Sicherheitsgruppe G_Test hat in dem Ordner Fileserver:\Daten\Temp Vollzugriff. Nun soll Gruppe N_Test dieselben Berechtigungen auf diesen Ordner erhalten.

Und da kommt Powershell wie gerufen. Mit folgendem Skript wird abgefragt, ab welchem Ordner + (Unterordner) überprüft werden soll. Danach wird automatisch nach den angegebenen Gruppen gesucht und diese duch die neue Domäne ersetzt. Auch die Vererbung wird geprüft und ggf. übertragen. Es funktioniert nur, wenn die Gruppen gleich heißen, kann aber schnell abgeändert werden.

#ChangeACL.ps1

#The possible values for Rights are
# ListDirectory, ReadData, WriteData
# CreateFiles, CreateDirectories, AppendData
# ReadExtendedAttributes, WriteExtendedAttributes, Traverse
# ExecuteFile, DeleteSubdirectoriesAndFiles, ReadAttributes
# WriteAttributes, Write, Delete
# ReadPermissions, Read, ReadAndExecute
# Modify, ChangePermissions, TakeOwnership
# Synchronize, FullControl

$StartingDir=Read-Host "What directory do you want to start at?"

foreach ($file in $(Get-ChildItem $StartingDir -recurse | where {$_.PsIsContainer})) {
  " "
  "Objekt: " + $file.FullName

  $name = Get-Acl $file.FullName | ForEach-Object { $_.Access  } | Group-Object IdentityReference | % {$_.Name}
  $rights = Get-Acl $file.FullName | % {$_.Access} | % {$_.FileSystemRights}
  $IsInherited = Get-Acl $file.FullName | % {$_.Access} | % {$_.InheritanceFlags}

  for($i=0;$i -lt $name.count ;$i++)
  {
        "User: " + $name[$i]
        "Rights: " + $rights[$i]

        #Insert your groups which will be replaced
        if($name[$i] -eq "domain_A\Test" -or $name[$i] -eq "domain_A\Test2")
        {
                $name[$i] = $name[$i].Substring(13)
                $name[$i] = "domain_B\"+$name[$i] #type in the new domainname
                $acl = Get-Acl $file.FullName

                $permission = $name[$i],$rights[$i],$IsInherited[$i],"None","Allow"
                $rule=new-object System.Security.AccessControl.FileSystemAccessRule $permission

                $acl.SetAccessRule($rule)
                $acl | Set-Acl $file.FullName

        }
  }

 }

Vielen ist es bekannt, dass die Exchange Server Konsole nur wenig Informationen über Postfächer ausgibt, zumindest, wenn man mehrere Postfächer vergleichen möchte. Powershell kann da schon mehr Infos gleichzeitig ausgeben, wobei hier die Übersichtlichkeit leidet.

Mit Hilfe des Exchange Dev Blogs von Glen Scales habe ich eine neue GUI erstellt, welche sehr viele Infos über die Mailboxen auf einem oder mehreren Exchange-Servern darstellt. Z.B.: Kann nach Postfachgröße (Anzahl der Elemente oder der Speicherbelegung) sortiert werden. Eine Auflistung der Unterordner in einem Postfach ist auch möglich.

Einen Auszug von Filtern zeigt der folgende Screenshot:

Außerdem kann zwischen verbundenen und nicht-verbundenen Postfächern geschaltet werden:

Das Skript muss auf einem Exchange-Server ausgeführt werden. Getestet wurde es auf einem deutschen Exchange-Server 2010. Das Skript muss daher in diesen Ordner kopiert werden: C:\Program Files\Microsoft\Exchange Server\V14\Scripts

Außerdem muss der ausführende Account Zugriffsberechtigungen auf den restlichen Postfächern besitzen.

Das Skript ist hier zum Download verfügbar.

Der Business Contact Manager kommt eigentlich nur im Paket mit Outlook daher. Dieser Artikel beschreibt, wie man ein kleines Installationspaket schnürt auch ohne die Installation von Outlook durchzuführen, falls dieses z.B. schon installiert ist.

Nachdem ihr euer Outlook – BCM Paket extrahiert habt, solltet ihr folgende Dateien vorfinden:

In meinem Fall war oder ist bereits Outlook überall installiert, so dass wir Outlook aus der Installation ausschliessen können. Dazu löscht ihr einfach den oben markierten Ordner “Outlook” und öffnet die Datei “Wizard.exe.config” mit einem beliebigen Texteditor. In dieser Datei müsst ihr folgenden Abschnitt löschen:

<Application>
<ApplicationName>Microsoft Office Outlook 2007</ApplicationName>
<ShortName>Outlook</ShortName>
<Installer>Outlook\setup.exe</Installer>
<ProductCode></ProductCode>
<LaunchParameter></LaunchParameter>
<Required>false</Required>
<UseWindowsInstaller>false</UseWindowsInstaller>
<RegistryKey>SOFTWARE\Microsoft\Office\12.0\Outlook\InstallRoot</RegistryKey>
<RegistryValue>Path</RegistryValue>
<SpaceRequired_MB>0</SpaceRequired_MB>
<UseWizardForUninstall>false</UseWizardForUninstall>
<UninstallExe></UninstallExe>
<UninstallParameter></UninstallParameter>
<UseSQLInstance>false</UseSQLInstance>
<ParentApplication></ParentApplication>
</Application>

Gut! Um nun eine Installation im Hintergrund aufzurufen, startet das Setup mit folgendem Befehl: setup.exe /q.

Leider erhaltet ihr mit diesem Aufruf auch keine Rückinfo, wann das Paket fertig installiert ist. Dazu habe ich kleines Programm in AutoIt geschrieben, welches die Installation automatisch aufruft und den Prozess überprüft:

Wichtig ist, dass das BCM-Installationpaket in den Ordner BCM umbenannt wird. Dann das Programm “BCM-Install.exe” aufrufen und die Installation mit dem einzigen Button starten! Sobald die Installation abgeschlossen ist, erscheint folgende Meldung:

Folgende Systemversionen wurden für diesen Test eingesetzt:

• Windows Server 2008 R2 (deutsch)
• MS-SQL Server 2005 (deutsch)
• MS-SQL Server 2005 SP3 (deutsch)
• Sql Server Management Studio Express
• Business Contact Manager for Outlook 2007 Database Tool

Ich gehe davon aus, dass der R2-Server schon aufgesetzt ist und funktioniert (interne Windows Firewall deaktiviert).

Als erstes wird der SQL-Server installiert, es kommt zwar die Warnung, dass die Version nicht kompatibel zum Betriebssystem ist, aber ihr guten Mutes fortfahren. Danach könnt ihr das Service-Pack 3 installieren. Das sollte soweit alles ohne Probleme laufen.

Die Management Studio Express msi Installation-Datei solltet ihr über die Kommandozeile aufrufen. Ruft die Kommandozeile unbedingt mit Administrationsrechten auf. Navigiert zur msi Datei und ruft diese ganz normal über den Prompt auf, ansonsten erhaltet ihr wahrscheinlich folgenden Error-Code: 29506!

Zum Schluss installiert ihr das BCM Database Tool. Damit ist es relativ einfach eine neue Datenbank zu erstellen. Als nächstes gebt ihr die angelegte Datenbank frei, natürlich auch wieder über das Datenbank-Tool.

Leider werdet ihr feststellen, dass die Verbindung mit einem Outlook-Client immer noch nicht funktioniert. Dazu müsst ihr einen Wert in der Tabelle OrgTable in eurer Datenbank ändern. Sucht den Eintrag “LocaleID” und ändert den Wert von “en-US” auf “de-DE“.

Nun sollte auch die Verbindung funktioniern und ihr könnt den BCM in Outlook einrichten.