Gibt es eine Möglichkeit zu prüfen, AD-Gruppenmitgliedschaft für einen computer?

Ich versuche zu überprüfen, computer Mitgliedschaft in der Gruppe über Powershell. Ich möchte in der Lage sein, um geben Sie einen bestimmten computer-Namen ein und finden Sie die Gruppen, computer ist aber aus einem Powershell-Skript. Ich bin der Planung über die Ausführung des Skripts auf einem computer, kopieren Sie den Hostnamen, und drucken Sie dann aus, welche AD-Gruppen, der computer ist in. Gibt es eine einfache Möglichkeit, dies zu tun?

BEARBEITEN:
Also der plan hier ist, um einen computer zu überprüfen, um zu sehen, welche Gruppen es in ist, dann weisen Sie einen Drucker basierend auf, in welche Gruppe es ist. Wir haben viele Drucker, die nur 3 bis 4 Menschen nutzen aber aufgrund der Verbreitung aus der Natur der Nutzer kann eine Verringerung der Menge an Druckern. Ich war auf der Suche auf die Gruppenrichtlinie aber nicht erstellen wollen 20 verschiedene GPOs. Ich wollte dies mit einem logon/Start-script. Ich bin mir nicht sicher, ob dies machbar ist oder machbar ist.

Edit #2:
Dieser edit ist es wirklich zu spät, um die Partei aber ich dachte, wenn sich jemand gefunden das es helfen könnte. Wir landeten mit item level targeting auf User - >Einstellungen>Systemsteuerung>Drucker-Objekte. Wir machten ein Konto im AD für jede Gruppe der Benutzer benötigen Zugriff auf den Drucker. Dies funktioniert, obwohl es in der Tat schaffen eine lange Anmeldevorgang für die erste Anmeldung des Computers. Wir ermöglichten auch Punkt-zu-Print-Beschränkungen, so dass die Treiber geladen wurden von den Servern ruhig.

  • Was ist deine Umgebung? Sie haben eine 2008R2-server, können Sie ihn ausführen auf? Hast du die Quest AD cmdlets installiert? Gibt es einen bestimmten Grund, dass Sie möchten lassen Sie es auf dem lokalen Computer anstatt einfach Abfragen AD von einer Maschine?
  • Es ist Server 2008 R2 und die Idee dahinter war, zu sehen, was die Gruppe der computer, und weisen Sie dann einen Drucker basierend auf dieser Gruppe
  • Ich suugest Einsatz von nativen gpo diesen job zu machen: technet.microsoft.com/en-us/windowsserver/bb310732.aspx
  • Wenn Sie das zuweisen von Druckern auf der Grundlage der Gruppenmitgliedschaft, dann würde ich erwarten, GPO die beste Lösung zu sein als gut.
  • Ich dachte Gruppenrichtlinien als gut, aber wir haben fast zwanzig verschiedene Gruppen für den Drucker und hätte nicht gedacht, dass zwanzig Gruppenrichtlinien-Objekte für den Drucker wäre es Wert. Der andere Haken ist, dass Sie über drei Benutzer pro Gruppe, so dass diese Objekte würden nicht beeinträchtigen viele Menschen. Ich bin sozusagen neu in der gesamten Produktionsfläche für die AD-und GPO und bin nicht vertraut mit best practices.
InformationsquelleAutor Ian | 2012-06-20
  1. 8

    Dieser wird Ihnen die Mitgliedschaft in der Gruppe (Gruppen-Namen) des lokalen Computers (benötigt powershell 2.0):

    ([adsisearcher]"(&(objectCategory=computer)(cn=$env:COMPUTERNAME))").FindOne().Properties.memberof -replace '^CN=([^,]+).+$','$1'
    • Ich habe versucht, diese auf einem client-und wieder nichts. Ich habe versucht, das hinzufügen dieser auf eine variable und echo die variable und es immer noch nichts zurückgegeben. Ich bin mir nicht sicher, was mir fehlt.
    • Was passiert, wenn Sie alles entfernen, nachdem die findone () - Methode, keine Ausgabe?
    • Immer noch nichts, obwohl ich fand, dass mit " Get-ADComputer "TestClient" -Properties * | Select-Object-MemberOf' hat mich näher an die Gruppen. Ich fühle mich, als sollte ich meine Frage umformulieren, um zu beschreiben, was ich bin versucht.
    • Sie konnten mit dem AD-Modul, aber dies erfordert, dass Sie laden Sie es auf jedem client, es verlangsamen kann Ihre login-Zeit. Die adsisearcher arbeitet nativ in v2, so schlage ich vor, Sie finden heraus, warum es funktioniert nicht, wenn du gehst zu tun, dass im login-Skript.
    • Vielleicht habe ich gefunden, warum es nicht funktioniert, Den "samaccountname" erfordert die dollar-Zeichen am Ende der computer-name. Das heißt, es funktionierte für mich ohne Sie. Versuchen Sie, fügen Sie ein Escapezeichen dollar-Zeichen am Ende der computer-name: (samaccountname=$env:COMPUTERNAME`$)
    • Aktualisiert meine Antwort, ersetzt samaccountname mit cn, es zu versuchen.
    • Das hat tatsächlich funktioniert, vielen Dank. Wissen Sie, ob es einen Weg gibt, integrieren diese in ein Skript, das ordnet Drucker, die sich auf die Gruppen?
    • Sicher, weisen Sie die one-liner zu einer Variablen $Gruppen, und testen Sie, ob Sie den Namen der Gruppe in Frage existiert: if($Gruppen -enthält 'groupname') { ...Drucker zuweisen-code...}
    • Wow, danke, das ist sehr hilfreich!

    InformationsquelleAutor Shay Levy
  2. 2

    Entschuldigt, wenn ich bin ein wenig spät zur party, aber ich brauchte einen computer der Gruppenzugehörigkeit als gut. Nach einer Menge von Versuch und Irrtum, dies für mich gearbeitet.

    Get-ADComputer "mycomp" -Properties MemberOf | %{if ($_.MemberOf -like "*group name*") {Write-Host "found"} }

    Bemerkte ich, dass, wenn der string-Vergleich wird in einer separaten Zeile, die ich brauchte, um die folgenden

    $g=Get-ADGroupMember -Identity "CN=myADgroup,OU=myOU,DC=corp,DC=com" -server corp.com
foreach($mbr in $g) {if($name.MemberOf -like "*mycomp*" -eq $true) {Write-Host "found"}}

    Nicht sicher, aber ich kann mir vorstellen, daß das testen der computer könnte schneller und einfacher als die Prüfung der Gruppe abhängig von der Anzahl der Mitglieder.

    InformationsquelleAutor SaxDaddy
  3. 1

    des gpresult-Methode scheint die einzige Möglichkeit zu sein, die ich finden kann, dass ist richtig. Abfragen von AD ist nicht korrekt, da der computer möglicherweise wurden zu Gruppen Hinzugefügt wurden, aber nicht neu gestartet. Ich bin sicher, dass jemand könnte, verdichten diese, aber es funktionierte gut genug für das, was ich sehen musste.

    # Get all active domain servers
$staledate = (Get-Date).AddDays(-90)
$computers = Get-ADComputer -Filter {(OperatingSystem -Like "*Server*") -and (Enabled -eq $True) -and (LastLogonDate -ge $staledate) -and (Modified -ge $staledate) -and (PasswordLastSet -ge $staledate) -and (whenChanged -ge $staledate) -and (Name -notlike "PHXVSSA101A")} | Select name -expandproperty name
$computers = $computers | Where {(Resolve-DNSName $_.name -ea 0) -and (Test-Connection -ComputerName $_.Name -Count 1 -ea 0)} | Sort
# Loop through all active domain servers
Foreach ($computer in $computers)
{
# Pull the gpresult for the current server
$Lines = gpresult /s $computer /v /SCOPE COMPUTER
# Initialize arrays
$cgroups = @()
$dgroups = @()
# Out equals false by default
$Out = $False
# Define start and end lines for the section we want
$start = "The computer is a part of the following security groups"
$end = "Resultant Set Of Policies for Computer"
# Loop through the gpresult output looking for the computer security group section
ForEach ($Line In $Lines)
{
If ($Line -match $start) {$Out = $True}
If ($Out -eq $True) {$cgroups += $Line}
If ($Line -match $end) {Break}
}
# Loop through all the gathered groups and check for Active Directory groups
ForEach ($group in $cgroups)
{
Try {
$check = Get-ADgroup $group -ErrorAction Stop
If ($check) {
$dgroups += $group
}
}
Catch {}
}
# Output server name and any Active Directory groups it is in
$computer
$dgroups
# End of computers loop
}
    InformationsquelleAutor Mike Finney
  4. 0

    Heres eine LDAP-Abfrage, um herauszufinden, ob ein computer in einer Gruppe rekursiv:

    (((objectClass=computer)(sAMAccountName=COMPUTERNAME$))(memberof:1.2.840.113556.1.4.1941:=DistinguishedNameOfGroup))

    Mehr info: http://justanotheritblog.co.uk/2016/01/27/recursively-check-if-a-usercomputer-is-a-member-of-an-ad-group-with-powershell-2-0/

    InformationsquelleAutor Michael
  5. 0

    versuchen Sie gpresult /V und überprüfen Sie unter "security GROUPS"

    InformationsquelleAutor Lansberry
Schreibe einen Kommentar