WedX - журнал о программировании и компьютерных науках

Как получить ВСЕ группы пользователей AD (рекурсивно) с помощью Powershell или других инструментов?

Я пытаюсь получить ВСЕ группы, в которые входит пользователь, даже вложенные (рекурсивно), в Powershell, который я использую:

(Get-ADUser <username> -Properties MemberOf | Select-Object MemberOf).MemberOf

Но он возвращает только группы, в которых пользователь является «прямым» членом, как вы получаете при использовании консоли пользователей AD. Одиночный список ВСЕХ групп очень полезен, например вывод команды "gpresult -r", где он показывает ВСЕ группы, в которых состоит пользователь.

Есть ли способ получить его от любого пользователя AD? (Не обязательно быть исключительно в Powershell, может быть, есть другой инструмент, о котором я еще не знаю)

powershell active-directory-group active-directory
08.05.2014

Ответы:


1

Вы можете использовать LDAP_MATCHING_RULE_IN_CHAIN:

Get-ADGroup -LDAPFilter "(member:1.2.840.113556.1.4.1941:=CN=User,CN=USers,DC=x)"

Вы можете использовать его везде, где можно использовать фильтр LDAP.

Пример:

$username = 'myUsername'
$dn = (Get-ADUser $username).DistinguishedName
Get-ADGroup -LDAPFilter ("(member:1.2.840.113556.1.4.1941:={0})" -f $dn) | select -expand Name | sort Name
08.05.2014
  • Я ошеломлен тем, насколько это здорово, и если бы я мог +1 больше, чем один раз, я бы это сделал. Я только что прочитал соответствующую документацию по предоставленной вами ссылке, и это действительно ценные знания для всех, кто имеет дело с powershell, AD и группами/членами. 09.05.2014
  • NB: похоже, это ограничивается поисковой базой с одним доменом. т.е. если пользователь является членом группы в другом домене, или одна из групп сама является членом группы в другом домене, пользователи другого домена не будут отображаться/будут исключены из дерева (т.е. даже если группы в другом домене являются членами групп в исходном домене). 26.03.2015
  • @Джозеф Алкорн, есть идеи, почему он не показывает мне группу «Пользователи домена»? Когда я использую Get-ADPrincipalGroupMembership myUser, он показывает мне группы пользователей (между ними также пользователи домена). Когда я ищу с помощью: $dn = (Get-ADUser "myUser").DistinguishedName Get-ADGroup -LDAPFilter ("(member:1.2.840.113556.1.4.1941:={0})" -f $dn) | select -expand Name | sort Name, он игнорирует группу «Пользователи домена», но показывает мне все остальные группы (также рекурсивно) 01.10.2017
  • @ E235, когда у пользователя есть определенная группа в качестве основной группы, эта ссылка не сохраняется в атрибуте member группы. Вместо этого относительный идентификатор (RID) хранится в объекте пользователя в атрибуте primaryGroupID. По умолчанию в AD основной группой всегда являются «Пользователи домена». Если вы посмотрите на атрибут участника этой группы, вы увидите, что он пуст. 10.10.2017
  • Это бесполезно, так как время ожидания истекло. 19.10.2018

    • 2

    Или вы можете использовать сконструированный атрибут tokenGroups и запрос с базовой областью действия:

    $tokenGroups = Get-ADUser -SearchScope Base -SearchBase '<account-distinguishedName>' `
-LDAPFilter '(objectClass=user)' -Properties tokenGroups | Select-Object `
-ExpandProperty tokenGroups | Select-Object -ExpandProperty Value
    09.05.2014
    Новые материалы
    Как проанализировать работу вашего классификатора?
    Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
    Работа с цепями Маркова, часть 4 (Машинное обучение)
    Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
    Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
    Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
    Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter
    Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..
    Учебные заметки: создание моего первого пакета Node.js
    Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..
    Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!
    Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..
    ИИ в аэрокосмической отрасли
    Каждый полет – это шаг вперед к великой мечте. Чтобы это происходило в их собственном темпе, необходима команда астронавтов для погони за космосом и команда технического обслуживания..
    Для любых предложений по сайту: [email protected]