【发布时间】:2014-09-15 16:07:39
【问题描述】:
我想使用 powershell 获取所有具有管理员权限的人员的列表。实现这一目标的最佳方法是什么? 我应该查看哪个用户属性?
【问题讨论】:
-
Noah 有一个很好的答案,但您并没有具体说明您在寻找什么。您是在询问具有本地管理员权限的用户还是只是全局管理员。
标签: windows powershell active-directory
【发布时间】:2014-09-15 16:07:39
【问题描述】:
get-adgroupmember 'domain admins' | select name,samaccountname
get-adgroupmember 'enterprise admins' | select name,samaccountname
【讨论】:
dsquery * -filter (samaccoutname="domain admin") | dsget group -members -expand >>RESULT.txt
【讨论】:
其他示例展示了如何最简单地显示谁对域具有“管理员”访问权限,但不要忽视“管理员”访问权限可以直接分配给域对象本身上的任何用户或组对象这一事实.简单地检查“域管理员”和“企业管理员”的成员并不能向您展示全部情况。
作为起点,您可以从这里开始,然后进一步调查:
(Get-ACL 'AD:\DC=MYDOMAIN,DC=local').Access | Format-Table IdentityReference,ActiveDirectoryRights,AccessControlType -AutoSize
【讨论】:
我意识到这个问题已经过时了,诺亚的回答帮助我进入了球场。我只是想进一步扩展它。如果您的环境中有多个域,您可以执行以下操作:
Get-ADGroupMember -Server "domain-name-here" -Identity "Domain Admins" -Recursive | Select Name
如果您还想查看是启用还是禁用了哪些帐户:
Get-ADGroupMember -Server "domain-name-here" -Identity "Domain Admins" -Recursive | Get-ADUser | Select Name, Enabled
或者,如果您只想查看启用的帐户:
Get-ADGroupMember -Server "domain-name-here" -Identity "Domain Admins" -Recursive | get-aduser -Properties Description | Where {$_.Enabled -eq $true} | Select Name
【讨论】: