是否有可能通过查询查找 Active Directory 中已禁用但也是其成员的所有用户全部组 - 或者除 1 之外的所有组?
尝试了以下操作:
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2)(objectCategory=group)(name=*))
答案1
使用 Powershell 很容易:
Get-ADUser -filter {enabled -eq $false} -properties memberof | where { ($_.memberof | measure).count -gt 1} | select samaccountname,name
第一部分,获取所有禁用的用户,然后获取属性memberof(默认情况下不包含)。第二部分,获取measure属性memberof,然后获取count并检查它是否gt大于 1。