【问题标题】:Powershell : Trying to identify AD accounts without a specific permission groupPowershell:尝试识别没有特定权限组的 AD 帐户
【发布时间】:2012-03-16 09:20:57
【问题描述】:

我正在尝试列出我们用户 OU 中的所有帐户,这些帐户在其安全选项卡中没有特定帐户。我们已将此帐户设置为从父级继承,但某些帐户似乎无法正常工作。

我尝试了以下方法,但它只显示拥有帐户的用户,而不是没有帐户的用户。我尝试了 -ne 变量,但它似乎只是从列表中删除了该帐户。

Get-QADUser -SearchRoot 'domain/Accounts/Users/Corporate' -SecurityMask Dacl |获取 QADPermission -SchemaDefault -Inherited | Where-Object {$_.AccountName -eq 'domain\Prod_Svc_RLoader' }

我只需要帐户列表,而不是权限列表。

我知道我错过了一些明显的东西,只是想不通!

干杯, 斯蒂芬。

【问题讨论】:

    标签: powershell


    【解决方案1】:

    将您的 Where-Object 更早地放入管道中。试试这样的:

    Get-QADUser -SearchRoot 'domain/Accounts/Users/Corporate' -SecurityMask Dacl | Where-Object -FilterScript { -not (Get-QADPermission $_ -SchemaDefault -Inherited | Where-Object {$_.AccountName -eq 'domain\Prod_Svc_RLoader' }) }
    

    我对 Quest AD cmdlet 不熟悉,但希望您能看到我们在这里尝试做的事情。基本上,我们“不考虑”那些确实在他们的 DACL 中拥有Prod_Svc_RLoader 的 ACE。

    【讨论】:

    • 感谢您的建议。现在运行搜索。干杯。
    • 谢谢 Trevor,该命令现在可以正常工作并识别没有 ACE 的帐户。非常感谢:)
    猜你喜欢
    • 2020-06-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-12-30
    • 2019-01-29
    相关资源
    最近更新 更多