Gibt es eine Möglichkeit zu prüfen, AD-Gruppenmitgliedschaft für einen computer?
Ich versuche zu überprüfen, computer Mitgliedschaft in der Gruppe über Powershell. Ich möchte in der Lage sein, um geben Sie einen bestimmten computer-Namen ein und finden Sie die Gruppen, computer ist aber aus einem Powershell-Skript. Ich bin der Planung über die Ausführung des Skripts auf einem computer, kopieren Sie den Hostnamen, und drucken Sie dann aus, welche AD-Gruppen, der computer ist in. Gibt es eine einfache Möglichkeit, dies zu tun?
BEARBEITEN:
Also der plan hier ist, um einen computer zu überprüfen, um zu sehen, welche Gruppen es in ist, dann weisen Sie einen Drucker basierend auf, in welche Gruppe es ist. Wir haben viele Drucker, die nur 3 bis 4 Menschen nutzen aber aufgrund der Verbreitung aus der Natur der Nutzer kann eine Verringerung der Menge an Druckern. Ich war auf der Suche auf die Gruppenrichtlinie aber nicht erstellen wollen 20 verschiedene GPOs. Ich wollte dies mit einem logon/Start-script. Ich bin mir nicht sicher, ob dies machbar ist oder machbar ist.
Edit #2:
Dieser edit ist es wirklich zu spät, um die Partei aber ich dachte, wenn sich jemand gefunden das es helfen könnte. Wir landeten mit item level targeting auf User - >Einstellungen>Systemsteuerung>Drucker-Objekte. Wir machten ein Konto im AD für jede Gruppe der Benutzer benötigen Zugriff auf den Drucker. Dies funktioniert, obwohl es in der Tat schaffen eine lange Anmeldevorgang für die erste Anmeldung des Computers. Wir ermöglichten auch Punkt-zu-Print-Beschränkungen, so dass die Treiber geladen wurden von den Servern ruhig.
- Was ist deine Umgebung? Sie haben eine 2008R2-server, können Sie ihn ausführen auf? Hast du die Quest AD cmdlets installiert? Gibt es einen bestimmten Grund, dass Sie möchten lassen Sie es auf dem lokalen Computer anstatt einfach Abfragen AD von einer Maschine?
- Es ist Server 2008 R2 und die Idee dahinter war, zu sehen, was die Gruppe der computer, und weisen Sie dann einen Drucker basierend auf dieser Gruppe
- Ich suugest Einsatz von nativen gpo diesen job zu machen: technet.microsoft.com/en-us/windowsserver/bb310732.aspx
- Wenn Sie das zuweisen von Druckern auf der Grundlage der Gruppenmitgliedschaft, dann würde ich erwarten, GPO die beste Lösung zu sein als gut.
- Ich dachte Gruppenrichtlinien als gut, aber wir haben fast zwanzig verschiedene Gruppen für den Drucker und hätte nicht gedacht, dass zwanzig Gruppenrichtlinien-Objekte für den Drucker wäre es Wert. Der andere Haken ist, dass Sie über drei Benutzer pro Gruppe, so dass diese Objekte würden nicht beeinträchtigen viele Menschen. Ich bin sozusagen neu in der gesamten Produktionsfläche für die AD-und GPO und bin nicht vertraut mit best practices.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Dieser wird Ihnen die Mitgliedschaft in der Gruppe (Gruppen-Namen) des lokalen Computers (benötigt powershell 2.0):
Entschuldigt, wenn ich bin ein wenig spät zur party, aber ich brauchte einen computer der Gruppenzugehörigkeit als gut. Nach einer Menge von Versuch und Irrtum, dies für mich gearbeitet.
Bemerkte ich, dass, wenn der string-Vergleich wird in einer separaten Zeile, die ich brauchte, um die folgenden
Nicht sicher, aber ich kann mir vorstellen, daß das testen der computer könnte schneller und einfacher als die Prüfung der Gruppe abhängig von der Anzahl der Mitglieder.
des gpresult-Methode scheint die einzige Möglichkeit zu sein, die ich finden kann, dass ist richtig. Abfragen von AD ist nicht korrekt, da der computer möglicherweise wurden zu Gruppen Hinzugefügt wurden, aber nicht neu gestartet. Ich bin sicher, dass jemand könnte, verdichten diese, aber es funktionierte gut genug für das, was ich sehen musste.
Heres eine LDAP-Abfrage, um herauszufinden, ob ein computer in einer Gruppe rekursiv:
Mehr info: http://justanotheritblog.co.uk/2016/01/27/recursively-check-if-a-usercomputer-is-a-member-of-an-ad-group-with-powershell-2-0/
versuchen Sie gpresult /V und überprüfen Sie unter "security GROUPS"