我运行了以下 PowerShell 脚本来比较组列表......
$dasMem = Get-ADUser -Server "<some-srv>" -Identity "<some-usr>" -Properties MemberOf | Select MemberOf
$blahx = $dasMem.MemberOf | % { $_ -replace "^CN=", "" } | % { $_ -replace ",.*$", "" } | sort
$blahx
当我获得列表时,我发现一个组缺失了,Domain users我认为这是一个标准的默认组。我提取脚本时它缺失了,这有什么原因吗?
要清楚的是,我能够看到该组Active Directory Users and Computers,但不能从上面的脚本中看到。
答案1
虽然听起来很傻,但这是因为域用户实际上不在属性中memberOf。您可以在 ADUC 中通过打开View - Advanced Features、转到Attributes对象上的选项卡并打开memberOf属性(而不是“成员”选项卡)进行验证。
您在 ADUC 中看到的对象属性上的“成员”选项卡实际上是 memberOf 属性的集合和primaryGroupID 属性。默认情况下,AD 中的用户通过此 primaryGroupID 属性而不是 memberOf 中的条目获取其域用户成员资格。虽然可以更改 primaryGroupID,但大多数人不会这样做。