我们有一个 PowerShell 脚本,它将枚举指定 AD 组的成员,然后将创建一个带有登录 ID 和名称的文本文件。该脚本将在向经理创建电子邮件时通知他们管理应用程序/服务的 AD 组的成员资格。我们遇到的问题是以下行:
Get-ADGroupMember -Identity $ADGroupName -Recursive |
Get-ADUser -Properties * | Select-Object employeeID, name |
Sort-Object name | Out-File -FilePath $Attachment
当用户运行脚本时,这将使用请求的信息正确创建文件。问题是当我们尝试使用 gMSA 通过计划任务运行此脚本时。在 gMSA 下运行它时,会创建一个零字节文件。将文件创建行更改为:
Get-Service | Out-File -FilePath $Attachment
按预期创建文件,因此问题似乎是Get-ADGroupMember. 可以像这样使用 gMSA 查询 AD 吗?
我们管理 MSA/gMSA 帐户的内部小组通知我们一切都应该正常工作。我们的安全组更喜欢通过 MSA/gMSA 运行需要某种类型的用户上下文的所有内容,因为密码管理不是问题。