1

我有点不好意思说我花了多少时间在这上面!

我在使用 ADUC GUI(Active Directory 用户和计算机)查找组East.ad.company.com中的All Supervisors时没有任何问题。结果在几秒钟内出现。

但是,如果我尝试使用 Active Directory 模块做同样的事情:

获取-ADGroupMember“所有主管”-server east.ad.company.com

产生错误:

....FullyQualifiedErrorId:在“DC=east,DC=ad,DC=company,DC=com”下找不到具有身份的对象:“所有主管”。Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember ...

-------------------------------------------------- -------------------------------------------------- -----

需要注意的几点:

  • “所有主管”的组范围是通用的(不确定这是否会有所不同)
  • 我的电脑和 AD 用户帐户目前在 west.ad.company.com
  • 只要 Get-AdGroupMember 与我在同一个域中,我就可以成功使用
  • 我可以成功使用get-aduser -identity ADUserID -server ba.ad.ssa.gov

-------------------------------------------------- -------------------------------------------------- -----

最后: 我还想知道如何在 ADUC 中搜索 Powershell 中“整个目录”中的用户和组(理想情况下,我可以使用一个简单的函数或脚本在命令行中快速搜索);而不是取决于 ADUC GUI 应用程序)。当然,必须有一种方法可以使用纯 powershell 来做到这一点!

4

4 回答 4

2

Get-ADObject-SearchBase parameter你要找的。将结果(组对象)传递Get-ADGroupMember给以列出成员。哦,'name -eq "foo"'可以并且可能应该将其调整为独特的属性,否则您可以列出任意数量的组成员资格。

Get-ADObject -Filter { 'ObjectClass -eq "group"' -and 'name -eq "All Supervisors"' } -SearchBase 'DC=east,DC=ad,DC=company,DC=com' | Get-ADGroupMember
于 2015-03-13T20:04:11.760 回答
2

搜索“整个目录”称为全局目录搜索,因此您只需告诉 PowerShell 使用全局目录。它位于端口 3268(而不是 389)的 DC 上。并非所有域控制器都必须持有全局目录 - 由您的管理员决定。您可以使用以下命令查询 GC 服务器

(Get-ADForest).GlobalCatalogs

我只有一个域,所以我无法对此进行测试,但我相信你会想要类似的东西:

Get-ADGroupMember "All Supervisors" -server dc1.east.ad.company.com:3268 -SearchBase ad.company.com

假设您的林根是 ad.company.com。

于 2013-10-27T20:54:55.413 回答
2

编辑:以前的答案不起作用。将 Get-ADObject 与 Get-ADGroupMembers 一起使用会引发与管理控制台位于不同域中相关的错误。

我探索了 ADGroup 对象的属性并找到了 .members 属性。以下代码段将列出域“east.ad.company.com”中“所有主管”组成员的 DistingushedName。如果您从域中运行,您很可能会离开 -server “east.ad.company.com”。

所以试试:

 Get-ADGroup "All Supervisors" -Server east.ad.company.com -Property Members | Select -ExpandProperty Members
于 2015-05-13T18:14:43.190 回答
1

发现可以get-adgroupmember跨域列出通用组成员。
只需在名称处传递其他域的-server名称。

get-adgroupmember RTCUniversalServerAdmins -server the.other.dom | ft -a -prop name,samAccountName
于 2016-01-28T22:13:40.663 回答