Office 365: Änderung an Gruppennamen werden nicht synchronisiert

By Marc

Weil ich gerade darüber gestolpert bin, hier ein schneller Blogpost zu dem Thema. Beim Einsatz von DirSync werden unter anderem auch Gruppen zwischen Active Directory und Azure AD (für Office365) synchronisiert. Nun hatten wir den Fall, dass wir lokal eine Gruppe umbenannt haben und darauf warteten, bis sich der geänderte Name auch online zeigte. Doch auch nach längerer Wartezeit hat sich da nichts getan. In den Protokollen von DirSync ist allerdings zu sehen, dass die Umbenennung der Gruppe erkannt und mit Azure AD synchronisiert wurde. Nur warum wird das dann online nicht angezeigt?

Das liegt schlicht und ergreifend an der Tatsache, dass das Office 365 Portal zur Anzeige der Gruppennamen nicht den Common Name (CN), sondern das Attribut “displayName” nutzt. Dieses Attribut wird allerdings von Windows AD nicht automatisch gepflegt, bleibt somit leer und Azure AD füllt online den displayName einmalig bei der Anlage mit dem CN der Gruppe. Ändert man nun lokal den Gruppennamen, bleibt lokal der displayName weiterhin leer und die Anzeige online bleibt auf dem alten Stand.

Nun kann man das Phänomen über zwei Wege lösen:

  1. Nach der Änderung des Gruppennamens den Wert für displayName über den Attributeditor im Active Directory mit ändern.
  2. Für Gruppen immer den displayName in Azure AD mit dem CN des Windows AD füllen lassen

Beim ersten Lesen hört sich Variante 1) natürlich einfacher an, jedoch muss daran auch jeder denken, der Gruppen pflegt. Und es müssen ggf. Skripte angepasst werden, oder bereits eingetragene Änderungen nachgepflegt werden … lästig. Aber mit einer kleinen Änderung an DirSync können wir Variante 2) sehr schnell und einfach implementieren:
DirSync_Groups_CN_displayName

  1. DirSync Einstellungen öffnen, Management Agents wählen und die Eigenschaften von “Active Directory Connector” anzeigen lassen
  2. Im “Management Agent Designer” den Punkt “Configure Attribute Flow” wählen
  3. In “Configure Attribute Flow” unter Object Type: group die Zeile “displayName –> displayName” suchen und durch “cn –> displayName” ersetzen

Danach ist ein Full Sync notwendig, da sich die Connector Eigenschaften geändert haben. Nach den Syncs und Exports sind dann online alle displayNames der Gruppen gleich den im lokalen AD angezeigten Gruppennamen. Fertig.

Eine Einschränkung von Variante 2: Ist lokal Exchange im Einsatz, sollte man sich diese Option noch einmal genau überlegen, denn Exchange pflegt das Attribut displayName für Verteilergruppen – diese Einstellungen würden dann überschrieben.

Loading