Get-ADUser au sein d'un groupe d'ANNONCES

Je voudrais obtenir un compte utilisateur active directory via powershell sein d'un groupe spécifique.

Je sais que le GivenName et Surname de l'utilisateur, je vais être à la recherche d', donc Get-ADUser semble être une bonne fonction à utiliser.

Le problème est que nous avons un grand nombre d'utilisateurs de l'OU et je veux limiter le champ d'application de la recherche à un groupe d'ANNONCES et les groupes de moins qu'un groupe d'ANNONCES. Aussi loin que je peux dire, le SearchBase paramètre de Get-ADUser ne fonctionne que pour les unités d'organisation et pas pour les groupes.

J'aimerais le faire de manière aussi efficace que possible (c'est à dire pas de tous les utilisateurs dans le groupe et de recherche au sein de ces utilisateurs).

  • Qu'entendez-vous par "la recherche au sein d'un groupe spécifique"? Voulez-vous vérifier si l'utilisateur est membre d'un groupe en particulier?
  • Je veux rechercher un utilisateur par leur Prénom et Nom de famille, mais seulement si elles sont un membre d'un groupe spécifique. Je ne veux pas savoir à quel groupe ils sont dans. Je veux juste seulement à la recherche au sein d'un groupe spécifique. Je suis en train d'essayer d'obtenir leur adresse de courriel à partir d'AD -- donc, je veux que l'utilisateur de l'objet. Si je la recherche pour "John Smith" je vais obtenir beaucoup de résultats dans l'ensemble du domaine, mais il n'y aura pas de doublons dans le groupe comme il est beaucoup plus petit.
  • Si vous voulez de l'efficacité, de le faire de plusieurs façons et l'heure, puis choisissez l'approche plus rapide. Il n'y a aucun moyen de prévoir la façon dont l'algorithme de requête optimisations de publicité, aura une incidence sur votre temps de recherche. Aussi, il n'y a aucun moyen d'obtenir ce que vous avez demandé, c'est à dire obtenir les membres d'un ensemble sans se le jeu en premier.
InformationsquelleAutor alex | 2016-03-25
  1. 3

    Vous pouvez utiliser Get-ADGroupMember pour énumérer les membres d'un groupe, et de l'utiliser comme entrée pour Get-ADUser:

    Get-ADGroupMember 'groupname' |
  Get-ADUser -Properties EmailAddress |
  Where-Object { $_.Surname -eq 'foo' -and $_.GivenName -eq 'bar' } |
  Select-Object -Expand EmailAddress

    Si le groupe ne contient pas seulement des objets utilisateur vous avez besoin de filtrer les membres de la classe de première:

    Get-ADGroupMember 'groupname' |
  Where-Object { $_.objectClass -eq 'user' } |
  Get-ADUser -Properties EmailAddress |
  Where-Object { $_.Surname -eq 'foo' -and $_.GivenName -eq 'bar' } |
  Select-Object -Expand EmailAddress

    Pour dérouler les groupes imbriqués vous avez besoin d'une fonction récursive:

    function Unroll-Group($group) {
  Get-ADGroupMember $group | ForEach-Object {
    $userOrGroup = $_
    switch ($_.objectClass) {
      'group' { Unroll-Group $userOrGroup }
      'user'  { Get-ADUser $userOrGroup -Property EmailAddress }
    }
  }
}

Unroll-Group 'groupname' |
  Where-Object { $_.Surname -eq 'foo' -and $_.GivenName -eq 'bar' } |
  Select-Object -Expand EmailAddress

    Noter que cette approche ne fonctionnera pas pour un groupe principal de l'utilisateur.

    • Grâce Ansgar-comment puis-je faire cela si les utilisateurs sont membres des sous-groupes seulement? Qui est, le groupe est un groupe de groupes, et les utilisateurs sont membres de ces sous-groupes.
    • Déroulez les groupes imbriqués vous avez besoin d'une fonction récursive. Voir mise à jour de réponse.
    • Merci cela m'a sauvé un peu de temps! J'ai mis à jour le dernier bloc de code à mettre $_ dans une variable avant de l'instruction switch, puisque $_ est le retour de "l'utilisateur" ou "groupe", lorsque je l'ai exécuté.
    InformationsquelleAutor Ansgar Wiechers