我正在尝试获取域用户所属的所有组,但仅过滤具有给定 extensionattribute 的组。 我设置了所有域组的 extensionattribute12 以更好地过滤一些查询(即基础设施 - 安全 - 电子学习)。我的查询应该只获取具有
的用户组extensionattribute12=安全
(例如)。 我使用类似的东西:
get-aduser -filter -Properties memberof | select name, @{ l="GroupMembership"; e={$_.memberof -join ";" } }
我得到了所有用户组。如何按组扩展属性过滤?
【问题讨论】:
标签: powershell active-directory ldap
您可以使用反向关系(组对象上的member)来查询用户所属的所有组,每个用户只需 1 个查询。这里使用 LDAP 过滤器:
$groupLabel = "Security"
Get-ADUser -Filter * |ForEach-Object {
$groups = Get-ADGroup -LDAPFilter "(&(extensionattribute12=$groupLabel)(member=$($_.DistinguishedName)))"
[pscustomobject]@{
User = $_.SamAccountName
GroupMembership = $groups.DistinguishedName -join ';'
}
}
如果您必须处理大量用户或组成员身份,您可能会发现预先检索所有满足 extensionAttribute12 条件的组并使用该列表过滤用户的 memberOf 属性会更快:
$groupLabel = "Security"
# Create a hash set and populate it with the distinguished
# names of all the groups we're looking for
$groupDNs = [System.Collections.Generic.HashSet[string]]::new(@(
Get-ADGroup -Filter "extensionAttribute12 -eq '$groupLabel'" |Select -Expand DistinguishedName
))
Get-ADUser -Filter * -Properties memberOf |ForEach-Object {
# Retrieve memberOf values and filter against the hash set
$groups = $_.memberOf |Where-Object { $groupDNs.Contains($_) }
[pscustomobject]@{
User = $_.SamAccountName
GroupMembership = $groups -join ';'
}
}
【讨论】:
用 N+1 个查询来实现
$groups = @( Get-ADGroup -Filter '(extensionattribute12 -eq "security")' )
$users = @( $groups |
ForEach-Object { Get-ADGroupMember -Identity $_ -Recursive } |
Sort-Object -Unique )
$users # All users of all groups that have EA12 = security
【讨论】:
Get-ADUser -filter {...} -Properties memberof | select name, @{ l="GroupMembership"; e={( $_.memberof | Get-ADGroup |?{ $_.extensionattribute12 -eq 'security' }) -join ";" }} |?{ $_.GroupMembership }
【讨论】: