Synkronisere grupper og gruppemedlemskap i Active Directory

Denne veiledningen beskriver to metoder for å tvangssynkronisere grupper og gruppemedlemskap fra eFeide til Active Directory (AD). Dette er nyttig for å korrigere avvik eller feil i medlemskap.

Det finnes to fremgangsmåter:

• Tøm og fyll opp: Fjerner alle medlemmer fra de valgte AD-gruppene, som deretter blir fylt på nytt ved neste eFeide-synkronisering. Dette er den tryggeste metoden.

• Slett og gjenopprett: Sletter gruppene fullstendig fra AD før de gjenopprettes. Denne metoden er risikabel og bør kun brukes i spesielle tilfeller.

Metode 1: Tøm og fyll opp (Anbefalt)

Denne metoden fjerner alle brukere fra de angitte gruppene i AD. Gruppene blir deretter fylt på nytt med korrekt medlemskap ved neste synkronisering fra eFeide.

Advarsel: Skriptet nedenfor fjerner alle gruppemedlemmer, uansett om de lagt til av eFeide eller ikke. Vær helt sikker på at du angir riktig OU (Organizational Unit), slik at du ikke tømmer medlemmer fra grupper som ikke administreres av eFeide.

Fremgangsmåte

1. Kjør PowerShell-skript for å tømme grupper

   Kopier og kjør følgende skript i et PowerShell-vindu med Active Directory-modulen.

   • Viktig: Endre verdien for $OU i skriptet til å peke på den OU-en der eFeide-gruppene er plassert i deres AD.

   CODE

   # Importerer Active Directory-modulen
   Import-Module ActiveDirectory
   
   # Angi stien til OU som inneholder eFeide-gruppene som skal tømmes.
   $OU = "OU=eFeide,OU=Grupper,OU=Elev,DC=kommune,DC=local"
   
   # Henter alle grupper i den angitte OUen
   $Groups = Get-ADGroup -Filter * -SearchBase $OU
   
   # Løper gjennom hver gruppe for å fjerne medlemmer
   foreach ($Group in $Groups) {
       Write-Host "Behandler gruppen: $($Group.Name)"
       try {
           # Henter alle medlemmer i gruppen (ikke-rekursivt)
           $Members = Get-ADGroupMember -Identity $Group -Recursive:$false
   
           foreach ($Member in $Members) {
               # Sjekker at objektet er en bruker eller datamaskin for å unngå feil med nestede grupper
               if ($Member.objectClass -eq 'user' -or $Member.objectClass -eq 'computer') {
                   try {
                       Remove-ADGroupMember -Identity $Group -Members $Member -Confirm:$false
                       Write-Host "  - Fjernet medlem: $($Member.Name)"
                   }
                   catch {
                       Write-Host "  - Kunne ikke fjerne medlem: $($Member.Name). Feil: $_"
                   }
               }
           }
       }
       catch {
            Write-Host "  - Kunne ikke hente medlemmer for gruppen: $($Group.Name). Feil: $_"
       }
   }
   
   Write-Host "Skriptet er ferdig."
   

2. Kjør "Gjenopprett" i eFeide

   Logg inn i eFeide-portalen, søk opp de aktuelle gruppene og kjør funksjonen for "Gjenopprett". Dette flagger gruppene for en fullstendig synkronisering av medlemskap.

3. Start en eFeide-synkronisering

   Kjør en manuell synkronisering i eFeide, eller vent til neste planlagte synkronisering kjører. Gruppene vil da bli fylt med de korrekte medlemmene.

Metode 2: Slett og gjenopprett

Denne metoden sletter gruppene i AD fullstendig. De blir gjenopprettet med nye SID-er (Security Identifiers) ved neste synkronisering.

Advarsel: Sletting av AD-grupper er en destruktiv handling og kan få alvorlige konsekvenser. Hvis andre systemer eller tillatelser er knyttet direkte til de eksisterende gruppene (via SID, samaccountname eller annet), vil disse koblingene brytes permanent. Bruk kun denne metoden hvis du er helt sikker på hva du gjør og forstår konsekvensene. Det er nesten alltid bedre å bruke "Tøm og fyll opp".

Fremgangsmåte

1. Kjør "Gjenopprett" i eFeide

   Logg inn i eFeide-portalen og kjør "Gjenopprett" for alle brukere og grupper som skal synkroniseres på nytt til AD.

2. Slett gruppene i Active Directory

   Naviger til riktig OU i "Active Directory Users and Computers" og slett manuelt de gruppene du ønsker å synkronisere på nytt.

3. Start en eFeide-synkronisering

   Kjør en manuell synkronisering i eFeide, eller vent til neste planlagte synkronisering. eFeide vil da opprette gruppene på nytt i AD med korrekt medlemskap.

4. Summary for AI and Search

Dette dokumentet beskriver to metoder for å resynkronisere Active Directory-grupper og medlemskap som administreres av eFeide. Veiledningen dekker en anbefalt metode for å tømme og fylle grupper via et PowerShell-skript, samt en mer risikabel metode for å slette og gjenopprette grupper. Hovedformålet er å gi systemadministratorer en løsning for å korrigere synkroniseringsfeil mellom eFeide og AD.