1. Zuhause
  2. Frage und Antwort
  3. Win32_GroupUser gibt verschachtelte Gruppen aus Domänensicherheitsgruppen nicht zurück

Win32_GroupUser gibt verschachtelte Gruppen aus Domänensicherheitsgruppen nicht zurück

2016-04-25 4 views
1

Wenn ich Win32_GroupUser verwenden, um Mitglieder einer lokalen Sicherheitsgruppe anzufordern, erhalte ich auch verschachtelte Domänengruppen.Win32_GroupUser gibt verschachtelte Gruppen aus Domänensicherheitsgruppen nicht zurück

z. in Powershell, diese Abfrage auf einem Mitgliedsserver:

Get-WmiObject Win32_GroupUser -Filter "GroupComponent='Win32_Group.Domain=`"myserver`",Name=`"LocalTestGroup02`"'" | select PartComponent

kehrt sowohl Benutzer- und Domänenkonten:

PartComponent              
-------------              
\\myserver\root\cimv2:Win32_Group.Domain="FLIP",Name="TestGroup" 
\\myserver\root\cimv2:Win32_UserAccount.Domain="FLIP",Name="test5" 
\\myserver\root\cimv2:Win32_UserAccount.Domain="FLIP",Name="test4"

Die gleiche Abfrage, aber dieses Mal auf einem Domänencontroller und für die Mitgliedschaft in einer Domäne Sicherheit Gruppe:

gibt nur die Benutzerkonten zurück, obwohl seine Mitglieder genau die gleichen wie die lokale Gruppe oben sind.

PartComponent 
------------ 
\\VW-DC01\root\cimv2:Win32_UserAccount.Domain="FLIP",Name="test4"            
\\VW-DC01\root\cimv2:Win32_UserAccount.Domain="FLIP",Name="test5"

Ich sehe dieses Verhalten

  • , wenn sie lokal ausgeführt und von einem anderen Server mit dem -ComputerName Parameter
  • auch mit einer C# -Anwendung mit System.Management
  • auf Domain lokalen, globalen und Universal Sicherheitsgruppen

Weiß jemand, warum das ist? Noch wichtiger, kann ich dieses Verhalten ändern, damit ich auch verschachtelte Gruppen in Domänengruppen sehen kann?

Ich versuche, die Mitgliedschaft von lokalen und Domänengruppen aufzuzählen, einschließlich Mitglieder in verschachtelten Gruppen.

PS: Ich weiß, dass ich auch das Cmdlet Get-ADGroupMember verwenden kann, aber das ist keine Option. Ich habe nur eine WMI-Verbindung zu den Zielservern, nicht LDAP oder WinRM.

Thx,

Quelle

2016-04-25 flip

+0

ich möchte die Antwort auf diese Frage auch sehen, aber ist adsi eine Option für Sie? Es gibt eine Möglichkeit, Anmeldeinformationen damit auch bei Bedarf angeben –

+0

Ich fürchte nicht, @AnthonyStringer. Wenn ich mich nicht irre, verwendet ADSI den LDAP-Port, der geschlossen ist. Dies ist eine Hosting-Umgebung. Ich scanne streng getrennte Kundennetzwerke von einem Management-Netzwerk. – flip

Antwort

0

Sie werden nur in der Lage sein, lokale Gruppen zu sehen (das heißt nicht-Domäne) auf dem Computer selbst, nicht aus dem Domänencontroller.
Wie für verschachtelte Gruppen zu sehen, abgesehen von Ihrer eigenen rekursive Funktion rollen Sie einen Blick auf Quest Active Directory tools Funktion übernehmen kann, ist Get-QADGroupMember

Quelle

2016-04-26 05:30:20

+0

Ich glaube nicht, dass das korrekt ist. Wie mein erstes Beispiel zeigt, sehe ich Domänengruppen, die Mitglieder einer lokalen Sicherheitsgruppe sind. Das Problem ist, dass ich keine Domänengruppen sehe, die Mitglieder einer anderen Domänengruppe sind. Die Quest Active Directory-Tools verwenden LDAP wie das native ActiveDirectory PowerShell-Modul. Dies ist also keine Option. Wenn dies der Fall wäre, könnte ich das Cmdlet Get-ADGroupMember verwenden. – flip

Verwandte Themen

 Verwandte Themen