为了实现我们值得信赖的公司工作流程,我们安装了一些如下的 AD 域信任:
一个包含所有 AD 用户的 Active Directory“主域”:Dom-A.extra.com
五个额外的 Active Directory 用于不同的公司(公司域)、计算机和文件服务器及域登录访问组。
Dom-1.intra
Dom-2.intra
Dom-3.intra
Dom-4.intra
Dom-5.intra
我们工作的“用户<->组”映射:用户(来自主域)位于本地域安全组(来自公司域)中。
为了审核我的用户并列出他们的权限,我需要查看所有组。
例如:
user-1 (from master-domain..) has groupmembership:
Domain: Dom-A.extra.com
Group: all-chat
Group: all-pub
Group: all-vpn
Domain: Dom-1.intra
Group: filesrv_A
Domain: Dom-2.intra
Group: remote_B
Domain: Dom-3.intra
Group: filesrv_C
在用户选项卡中,groupmembership我只能看到域本地组,而看不到域信任的远程组。
如果我查看域信任的组,我会看到广告用户,但这实际上并不像审计那样。
我测试了一些ps类似的命令get-adgroupmember,但它们都过滤用户(在受信任的域中没有用户)或仅显示本地组(在主域上)。
有什么建议么?