我正在構建關於我們的活動目錄組的報告,並且在涉及到不同的森林時遇到困難。使用PowerShell查詢Active Directory
我們有來自forestA的用戶來自forestB的用戶組。我能拉使用任務AD這些羣體:
$GroupUsers = Get-QADGroupMember $GroupName -Type 'user' -Indirect
唯一的問題是,即使用戶裏面是從森林B,他們拿出證明他們是從FORESTA。它們確實存在於兩個森林中,不知道這是否是一個問題。
任何線索爲什麼發生這種情況?
在此先感謝。
有-Server參數Get-ADGroupMember cmdlet,您可以在其中指定來自其他域/林的域控制器。喜歡的東西:
Get-ADGroupMember -Identity $GroupName -Server DC.AnotherDomain.com
每當我使用這個參數,我得到相同的錯誤:無法聯繫服務器。這可能是因爲此服務器不存在,它目前處於關閉狀態,因此它不具有運行的Active Directory Web服務。 這很有趣,因爲我可以使用QAD-getmember – ranbo
連接嗯,您需要在其他森林中識別域控制器。除了來自其他森林的域名服務外,我沒有發現任何其他方式讓Quest獲得該信息。試着運行這個'Get-ADDomainController -DomainName AnotherDomain.com',然後查詢返回的服務器。 – Igor
我所得到的是:域名:ttbb.bb-group.com 森林:bb-group.com 主機名:{ttao10p00053.ttbb.bb-group.com} IPv4地址:199.xx.xx.28 IPv6Address : 名稱:TTAO10P00053 網站:TAO01 但使用此信息查詢不起作用 – ranbo
可以查詢林的域或所有全局編錄:GET-adforest(屬性GlobalCatalogs,域) - 我經常做這樣的事情: 我把組中的所有SID列表,然後檢查哪一個屬於我的域/森林,其餘是在外部森林中搜索。
您可以使用與Windows捆綁的Powershell AD模塊嗎?也許那個沒有這些問題。以防萬一。 – Vesper
我試過了,但是用windows模塊我甚至找不到一個不同的森林組。 – ranbo