我有一个使用 PowerShell Get-ADUser 命令显示的用户,但当我进入 AD 用户和计算机时,该用户不可见。我认为这与名称末尾的 $ 有关,但我对这一切都不熟悉,只是被要求尝试找出我们系统上的用户是谁/什么。以下是 PS 命令的结果(我更改了查询返回的实际用户名):
DistinguishedName : CN=Username$,CN=Users,DC=ourdomain,DC=org
EmailAddress :
Enabled : True
GivenName :
Name : Username$
ObjectClass : user
ObjectGUID : e5dd0482-dac9-4f93-bc17-03d5f970943d
PasswordExpired : False
PasswordLastSet : 9/8/2015 5:49:15 PM
PasswordNeverExpires : False
SamAccountName : Username$
SID : S-1-5-21-2129867641-1687574238-1546849883-9191
Surname :
UserPrincipalName :
对这个用户有什么想法吗?
谢谢
答案1
我不同意给出的答案。
您可以创建以美元符号 ($) 结尾的用户帐户,而 Active Directory 仍然可以区分该用户帐户和计算机帐户,因为该对象仍然具有user其ObjectClass.
我刚刚创建了一个名称后面带有美元符号的用户,在 ADUC、Powershell 或 ADUC 搜索对话框中查看用户帐户没有任何问题。帐户一切正常。
所以你的问题在于别处。
showInAdvancedViewOnly所以我的理论是,有人将该用户帐户的属性更改为TRUE,这会从 ADUC 控制台视图中隐藏该用户帐户,除非您从菜单中选中“查看 -> 高级功能”。
虽然不是 100% 确定,但这是我的赌注。
编辑:还值得注意的是,创建带有尾随美元符号的用户帐户虽然在技术上是合法的,但您不能“无意中”这样做。例如,ADUC 不允许我这样做。它只是默默地删除了美元符号。但是,使用更高级的方法,我能够将美元符号放在用户名 CN 的末尾。因此,考虑到所有因素,这听起来有点可疑,就像有人试图隐藏用户帐户一样。
答案2
它看起来像是当您设置 AD 信任时创建的帐户。您应该能够在 ADSIEDIT 中看到它。查看 sAMAccountType (TRUST_ACCOUNT) 的扩展属性。帐户名称将与设置信任的域名匹配。
答案3
你是对的。$ 表示 AD 将用户解释为计算机。
答案4
我最近遇到了这个问题,并想发布我的回复,以便将来任何人检查这个问题。
使用 Get-ADUser 发现一个在 ADUC 或管理中心中不可见的帐户。帐户上还附加了一个“$”。我进行了与前面所述相同的测试,创建了一个末尾带有“$”的测试用户。创建或查看时没有遇到任何问题。
然后我搜索了不带“$”的名称。似乎之前有一个使用该名称设置的入站受信任域。然后我使用 ADSIEdit 并能够找到具有正确名称的用户对象。然后检查了 sAMAccount 类型并确认它是 (TRUST_ACCOUNT)。
仍然不确定为什么我无法在 ADUC 或管理中心查看它(我已启用高级功能),但至少现在知道它的用途。