Liste des utilisateurs du groupe d'annonces de manière récursive avec le script powershell sans CmdLets

Je suis en train de liste de tout le monde dans un groupe de sécurité active directory sans utiliser les Applets de commande PowerShell. La chose bizarre avec mon script est qu'il fonctionne si je la liste l'ensemble du répertoire, mais si j'essaie de le spécifier à l'aide d'une requête ldap ce que je veux être énumérés, il ne fonctionne pas. Je sais que ma requête ldap est correct parce que je l'ai utilisé dans un autre semblable, vbs et il fonctionne. Les lignes commentées sont où j'ai essayé de mettre dans la requête.

$strFilter = "(&(objectCategory=person)(objectClass=user))"
#$strFilter = "(&(objectCategory=person)(objectClass=user)(memberOf=CN=Common Name,OU=User Groups,...,DC=ad,DC=domain,DC=com))" #... is just left out part of query

#$objDomain = New-Object System.DirectoryServices.DirectoryEntry
$objDomain = New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Common Name,OU=User Groups,...,DC=ad,DC=domain,DC=com") #... is just left out part of query

$objSearcher = New-Object System.DirectoryServices.DirectorySearcher
$objSearcher.SearchRoot = $objDomain
$objSearcher.PageSize = 1000
$objSearcher.Filter = $strFilter
$objSearcher.SearchScope = "Subtree"

$colProplist = "name"
foreach ($i in $colPropList){$objSearcher.PropertiesToLoad.Add($i)}

$colResults = $objSearcher.FindAll()

foreach ($objResult in $colResults)
    {$objItem = $objResult.Properties; $objItem.name}

source d'informationauteur yoyomommy

  1. 9

    Ici est quelque chose à travailler dans un Active Directory 2003 SP2 et 2008 R2. J'ai utiliser ADSI et Microsoft LDAP_MATCHING_RULE_IN_CHAIN. Il Recherche récursive (mais dans une seule requête) tous les utilisateurs à partir d'un groupe (attention à ce qu'il revienne utilisateurs de la sécurité et des distributions de groupe)

    Clear-Host
$dn = New-Object System.DirectoryServices.DirectoryEntry ("LDAP://WM2008R2ENT:389/dc=dom,dc=fr","[email protected]","PWD")

# To find all the users member of groups "MonGrpPlusSec"  : 
# Set the base to the groups container DN; for example root DN (dc=societe,dc=fr)  
# Set the scope to subtree 
# Use the following filter : 
# (member:1.2.840.113556.1.4.1941:=CN=MonGrpPlusSec,OU=ForUser1,DC=dom,DC=fr) 

$dsLookFor = new-object System.DirectoryServices.DirectorySearcher($dn)
$dsLookFor.Filter = "(&(memberof:1.2.840.113556.1.4.1941:=CN=MonGrpPlusSec,OU=ForUser1,DC=dom,DC=fr)(objectCategory=user))"; 
$dsLookFor.SearchScope = "subtree"; 
$n = $dsLookFor.PropertiesToLoad.Add("cn"); 
$n = $dsLookFor.PropertiesToLoad.Add("distinguishedName");
$n = $dsLookFor.PropertiesToLoad.Add("sAMAccountName");

$lstUsr = $dsLookFor.findall()
foreach ($usrTmp in $lstUsr) 
{
  Write-Host $usrTmp.Properties["samaccountname"]
}
  2. 8

    Cela permettra d'obtenir tous les membres du groupe Administrateurs de domaine, y compris les membres imbriqués (nécessite .NET 3.5).

    $Recurse = $true

Add-Type -AssemblyName System.DirectoryServices.AccountManagement
$ct = [System.DirectoryServices.AccountManagement.ContextType]::Domain
$group=[System.DirectoryServices.AccountManagement.GroupPrincipal]::FindByIdentity($ct,'Administrators')
$group.GetMembers($Recurse)
  3. 0

    Tant que vous savez le nom du groupe, vous pouvez exécuter les opérations suivantes (laid) quasi-one-liner:

    ## List Members in a Group
$groupname = 'GroupNameHere'
(New-Object System.DirectoryServices.DirectoryEntry((New-Object System.DirectoryServices.DirectorySearcher("(&(objectCategory=Group)(name=$($groupname)))")).FindOne().GetDirectoryEntry().Path)).member | % { (New-Object System.DirectoryServices.DirectoryEntry("LDAP://"+$_)) } | Sort-Object sAMAccountName | SELECT @{name="User Name";expression={$_.Name}},@{name="User sAMAccountName";expression={$_.sAMAccountName}}

    Aussi depuis que vous avez rarement l'un sans l'autre, je vais aussi inclure le moyen de la liste de tous les groupes d'un utilisateur en utilisant la même approche de base:

    ## List Groups for a Username
$username = 'UsernameHere'
(New-Object System.DirectoryServices.DirectorySearcher("(&(objectCategory=User)(samAccountName=$($username)))")).FindOne().GetDirectoryEntry().memberOf | % { (New-Object System.DirectoryServices.DirectoryEntry("LDAP://"+$_)) } | Sort-Object sAMAccountName | SELECT @{name="Group Name";expression={$_.Name}},@{name="Group sAMAccountName";expression={$_.sAMAccountName}}

    Ces deux requêtes de votre domaine actuel et ne nécessitent pas de n'importe quel domaine de qualification, et ils ne nécessitent pas des modules ou des bibliothèques supplémentaires seront installés. Je me suis aussi trouver de travail dans une jolie vanille de l'environnement, de temps en temps avec un minimum d'autorisations d'où j'ai besoin de rechercher dans les ANNONCES, et je trouve ces deux commandes de m'aider un peu.