【问题标题】:What powershell commands are needed to add a group A from domain A as member of group B in domain B?将域 A 中的组 A 添加为域 B 中组 B 的成员需要哪些 powershell 命令?
【发布时间】:2019-02-12 14:15:23
【问题描述】:

我希望能够将林 A 中的组 A 添加为林 B 中组 B 的成员。在这两个林中,我都有具有域管理员权限的凭据。我已经尝试了几件事,但它不能跨森林工作,我已经尝试了几个在互联网上搜索的命令,到目前为止没有任何结果。

我尝试了几个脚本,但是每次从林 B 运行时都找不到来自林 A 的对象组 A。当我在林 B 的域控制器上使用 MMC 用户和计算机时,可以选择林 A 并浏览通过 Active Directory 没有任何限制。

【问题讨论】:

  • 编辑您的问题并包含您迄今为止尝试过的内容 - 最好包含您拥有的任何代码,即使它不起作用:)
  • 您是否验证了安全组范围对于这种情况是否正确?例如,您是否验证过 B 组是域本地组或通用组,而 A 组是全局组?如果组 B 是全局组,则不能将其他域中的对象添加到其中。

标签: powershell active-directory cross-domain group-membership


【解决方案1】:

您只需使用-Server 参数告诉它外部域的DNS 名称:

Add-ADGroupMember -Identity groupname -Members (Get-ADUser user -Server foreign.domain.com)

AD 用户和计算机足够智能,可以查看当前域的信任以找到外部域的名称,但 PowerShell cmdlet 不是。

【讨论】:

  • 当我执行以下命令时:import-module activedirectory Add-ADGroupMember -Identity RGU000638 -MEMBER (Get-ADGroup GL001084 -Server INTERNAL.ZONE)
  • 您需要使用-Members,而不是-Member。你需要最后的“s”。 PowerShell 将允许您对参数使用部分名称,但前提是它们是唯一的。 Add-ADGroupMember 有另一个参数叫做-MemberTimeToLive,所以如果你只使用-Member 它不知道你是指-Members 还是-MemberTimeToLive
猜你喜欢
  • 1970-01-01
  • 2021-06-28
  • 2012-03-04
  • 1970-01-01
  • 1970-01-01
  • 2016-01-21
  • 2014-01-29
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多