问题标签 [group-membership]

我需要将一个 AD 组中的所有用户添加到另一个 AD 组。两个组都在同一个域中，尽管用户来自林中的另一个域。

域“LPC”：$Source_Group和$Destination_Group
域“forestx”：用户

这是我在这篇 Microsoft 文章的帮助下编写的一个示例：

Get-ADUser $Person -Server forestx-dc-1Add-ADPrincipalGroupMembership如果我将它写入命令行，它似乎包含正确的对象，但引用似乎在语句中不起作用。

我正在尝试构建所有本地组及其受人尊敬的成员的集合，但是我在下面列出的代码中遇到的挑战是“管理员”组成员为空，服务器上的所有其他组返回其成员而不是管理员。有任何想法吗？

我在根目录下运行这个程序，我用命令得到以下结果id mike：

我正在使用以下代码来获取组：

我需要的结果是列出组 1002 和 1005。它只是给了我

如何获取用户的所有组getgroups？

我已经阅读了许多博客，其中包括：

https://www.codeproject.com/Articles/1254806/Authentication-and-Authorization-in-ASP-NET-Core-2

我正在使用 Azure 活动目录构建使用 OpenIdConnect 的构建应用程序。我的愿望是将每个应用程序的访问权限仅限于特定组中的用户。例如，应用程序 1 只能由组 1 中的用户访问，而应用程序 2 只能由组 2 中的用户访问。

因此，当任一应用程序的用户使用 Azure AD 登录时，我希望 Azure AD 返回登录用户的组声明。根据组，我决定（从应用程序方面）是否允许用户访问应用程序。我已经能够弄清楚如何返回组...

但

当我在应用程序清单中包含 groupMemberClaims 时，我收到错误Bad Request...这是由于一些用户属于这么多安全组而向请求中添加了太多标头的结果。这是我的困境。

以前有人遇到过这个问题，你是如何解决的？

我希望能够将林 A 中的组 A 添加为林 B 中组 B 的成员。在这两个林中，我都有具有域管理员权限的凭据。我已经尝试了几件事，但它不能跨森林工作，我已经尝试了几个在互联网上搜索的命令，到目前为止没有任何结果。

我已经尝试了几个脚本，但是每次从林 B 运行时都找不到来自林 A 的对象组 A。当我在林 B 的域控制器上使用 MMC 用户和计算机时，可以选择林 A 并浏览 Active Directory没有任何限制。

我有一个脚本要求 aUsername和DateRemove (MM/DD/YYYY). 此输入将导出到具有函数的config.CSV文件，格式为.-AppendCSVUsername,DateAdd,DateRemove

我想创建第二个 PS 文件作为每日计划任务运行。这是我迷路的地方，希望得到帮助......

我想引用它config.CSV并将它DateRemove与当前日期进行比较，如果有匹配我想要Username执行“ Remove-ADGroupMember -Identity GroupName -Members $User”，如果没有匹配我希望它什么都不做。

尝试使用单个 PS 脚本创建“删除”作业，但这失败并在我的计划任务中使用变量作为参数。更不用说它会创建 100 多个任务调度程序作业。这使我找到了一个用于用户输入的 PS 文件和一个用于引用“源”文件的计划作业的文件。

现在我只是困惑..

这是一个简短的指南，可帮助您进行 TeamCity 的 LDAP 设置。在我设法让同步运行之前，我个人挣扎了很多。默认配置文件有很多设置和文本，这可能更令人困惑而不是有用。在 JetBrains 和 StackOverflow 上都可以看到很多关于设置组同步问题的帖子。

此设置假定您没有用于导入成员的嵌套组，而是单个组。如果您想为 TeamCity 使用嵌套组，请查看https://www.jetbrains.com/help/teamcity/typical-ldap-configurations.html?_ga上的“通过同步限制组数”部分=2.213872598.374019039.1565610915-964155662.1565610915

相应地更改 teamcity.users.filter。

JetBrains 更喜欢您有一个嵌套组，其中顶部节点是您的 TeamCity 组。然而，这不是我现在想要设置同步的方式。

假设

• 您已阅读指南https://www.jetbrains.com/help/teamcity/ldap-integration.html

• 您有一个可以使用用户名/密码连接到 LDAP 的 Active Directory 用户（或更好的：ServiceAccount）

• 您可以使用 LDAP 登录，但您不知道如何使组成员身份同步工作。

我正在努力从 Active Directory 中获取非活动用户列表，Search-ADAccount然后通过管道将其传输到，Get-ADUser以便我可以使用 whereMemberOf不包含该组"Accounts_to_Keep"。我相信我可以使用正确的数字 ( 379) 和完整的 DN 字符串。但是，如果组移动，我想使用-match或-like仅使用组的名称。它返回的数字不一样。

如果我单独对单个用户执行此操作，MemberOf它只会过滤掉一个组并返回用户拥有的另一个组，所以我认为这就是为什么我拥有的不仅仅是-contains. 有没有办法在不自己使用子数组的情况下使用-like或-match用于子数组foreach？

从字符串中删除完整的 DN

想象有一个 Powershell 脚本在 Windows 10 机器上的 SYSTEM 帐户下运行，并检查当前登录的域用户。没什么大不了。

现在：我想检查这个登录的用户是否在这台机器上有管理员权限。到目前为止，我能找到的每一项检查都只查看“.IsInRole([Security.Principal.WindowsBuiltInRole]::'Administrator')”。但这仅检查用户是否是本地组“管理员”的直接成员。但是可能在本地管理员组中有一个域组，而用户是该域组的成员。所以他是管理员，即使他不是管理员组的直接成员。

如何同时检查两者？我只想检查某人是否是管理员，无论这些管理员权限来自何处。此检查还将在 SYSTEM 帐户下运行，而不是在受影响的用户帐户本身下运行。

有任何想法吗？