无需 AD 搜索即可获得计算机组成员资格

Question

是否有在不运行 AD 搜索的情况下获取计算机的 AD 组成员身份的等效方法？我需要能够检索 AD 中计算机组成员身份的组 SID，即使机器没有连接到域控制器，作为标准用户帐户运行。

基本上是在寻找这个的等价物，除了当前的计算机帐户。

$groups = [System.Security.Principal.WindowsIdentity]::GetCurrent().Groups

Answer 1

我通过逆向工程gpresult 找出了如何做到这一点。为此，首先，作为管理员，我授予标准用户对 WMI 命名空间 root\rsop\COMPUTER 的访问权限

我更喜欢不必这样做的解决方案，但需要进一步调查。

使用脚本Set-WmiNamespaceSecurity.ps1一次性设置机器

Set-WmiNamespaceSecurity.ps1 root/rsop/COMPUTER add Users Enable 

现在我可以作为标准用户从机器所在的计算机中检索 Active Directory 计算机组 SIDs，即使它没有使用以下 PowerShell 连接到网络：

(Get-WmiObject -Namespace "root\rsop\COMPUTER" -Class RSOP_Session -Property SecurityGroups).SecurityGroups