1

如何为不同的受信任域上的用户获取完全限定域名 (FQDN)?

通常,我会要求所述用户采用此处概述的任何一种方法(例如whoami /fqdnecho %userDNSdomain%),但如果这种方法由于某种原因不可用(例如,该帐户是我无法以交互方式登录的代理帐户,我工作的公司被收购了,新的所有者没有那么快,等等),有没有办法获得这个不同用户帐户的 FQDN?

或者,采用“模拟”我的用户凭据返回的 FQDN 的方法也容易出错。whoami /fqdn以我的用户身份运行的输出为例:

C:\Users\john.eisbrener>whoami /fqdn
CN=John M. Eisbrener,OU=Standard Users,OU=Resources,DC=CONTOSO,DC=COM

可以在概念CONTOSO上将域组件调整为另一个受信任的域,期望它遵循相同的结构,但这将是短视的,因为并非所有域都遵循相同的命名约定。我见过太多受信任的域.org在其 LDAP 根路径中使用或包含其他域前缀或后缀。

所有这一切的主要驱动因素是我需要将正确的域组件传递给以下 PowerShell 查询,我在尝试查找可能需要将哪些用户组和用户名添加到某些安全组、文件路径等时依赖这些查询.

## List Groups for a Username
$domainName = 'CONTOSO'
$domainSuffix = 'COM'
$username = 'john.eisbrener'
(New-Object System.DirectoryServices.DirectorySearcher((New-Object System.DirectoryServices.DirectoryEntry("LDAP://dc=$($domainName),dc=$($domainSuffix)")), "(&(objectCategory=User)(samAccountName=$($username)))")).FindOne().GetDirectoryEntry().memberOf | % { (New-Object System.DirectoryServices.DirectoryEntry("LDAP://"+$_)) } | Sort-Object sAMAccountName | SELECT @{name="Group Name";expression={$_.Name}},@{name="Group sAMAccountName";expression={$_.sAMAccountName}}


## List Members in a Group
$domainName = 'CORP'
$domainSuffix = 'ORG'
$groupname = 'RemoteUsers'
(New-Object System.DirectoryServices.DirectoryEntry((New-Object System.DirectoryServices.DirectorySearcher((New-Object System.DirectoryServices.DirectoryEntry("LDAP://dc=$($domainname),dc=$($domainSuffix)")), "(&(objectCategory=Group)(name=$($groupname)))")).FindOne().GetDirectoryEntry().Path)).member | % { (New-Object System.DirectoryServices.DirectoryEntry("LDAP://"+$_)) } | Sort-Object sAMAccountName | SELECT @{name="User Name";expression={$_.Name}},@{name="User sAMAccountName";expression={$_.sAMAccountName}}

为什么我不能安装任何其他组件或模块?我使用的计算机非常普通,没有任何额外的 PowerShell 模块或 mmc 管理单元 (ef dsa.msc) 可用,因为我的用户帐户没有足够的权限来安装软件。

我目前获取此其他用户域的 FQDN 的方法是设置以所述用户身份运行的 Windows 计划任务,将上述whoami /fqdnecho %userDNSdomain%命令的输出保存到文本文件中,但这似乎有点笨拙,我希望有一个简单的我可以从命令提示符或 PowerShell 提示符运行的单行程序。任何建议,将不胜感激。

最后一点,如果我的术语不正确或导致混淆,我深表歉意。我愿意接受理解我所问内容的人对此进行的任何编辑。

4

2 回答 2

3

这应该只使用 .Net 类,所以它应该适合你。

Function Get-TrustedDomainUser{
Param([String]$Alias)
    $Forest = [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()
    $AllTrusts=$Forest.GetAllTrustRelationships()
    $Filter = "(&(sAMAccountName=$Alias)(objectClass=user))"
    $Searcher = [adsisearcher]$Filter
    ForEach($Domain in $AllTrusts.TargetName){
        Write-Host "Trying to find user in $Domain"
        $LDAP = 'DC=' + ($Domain.split('.') -join ',DC=')
        $Searcher.SearchRoot = "LDAP://$LDAP"
        $ErrorActionPreference = 'Stop'
        try{
            $DomUser = $Searcher.FindAll()

        }Catch{
            Write-Host "User not found in $Domain"
        }
        If(!([string]::IsNullOrEmpty($DomUser.Path))){Break}
    }
    $DomUser
}

Get-TrustedDomainUser -Alias 'SomeUser'

这将获取所有受信任的域,然后尝试在每个域中查找用户,直到找到该用户,此时它返回该用户。如果您不喜欢屏幕上的垃圾邮件,只需注释掉这些Write-Host行。

于 2017-06-13T19:25:20.813 回答
1 
$s = [adsisearcher]'(&(objectcategory=user)(samaccountname=somename))'
$s.SearchRoot = [adsi]'LDAP://DomainFqdnOfTargetUserDomain'
$r = $s.FindOne()

$r.properties
  • 使用 adsisearcher 类型加速器构造函数来指定我们要运行的 ldap 搜索
  • 使用基础 DirectorySearcher 对象的属性来指定我们不想使用默认用户的域,而是使用我们指定的域(必须是 ADSI 引用)。
  • distinctname 是返回的默认 AD 属性。如果不是,或者您需要添加一个不是默认的,您可以使用: $s.PropertiesToLoad.Add('propertyname')
  • 执行该.FindOne()方法以返回一个单数项。如果您正在进行一般搜索,例如 (samaccountname=tom*),您可以将其切换为.FindAll().
  • 将结果发送到屏幕,以便您可以看到返回的对象属性。
  • 了解由于某些疯狂的原因,这些调用将每个属性作为数组返回(即使它在 AD 架构中定义为单值),因此在大多数情况下,虽然引用该属性将在单项数组中工作,但它会更多也可以通过索引来引用它:例如$r.properties.samaccountname[0]
于 2017-06-13T16:25:50.983 回答