我正在构建一个关于我们的活动目录组的报告,并且在涉及不同的森林时遇到了困难。
我们有来自forestA的组和来自forestB的用户。我能够使用Quest AD拉出这些组:
$GroupUsers = Get-QADGroupMember $GroupName -Type 'user' -Indirect
唯一的问题是即使内部的用户来自森林B,他们也会出现他们来自forestA。它们确实存在于两个森林中,不知道这是不是一个问题。
有关为何会发生这种情况的任何线索?
提前致谢。
答案 0 :(得分:1)
-Server cmdlet的Get-ADGroupMember参数,您可以在其中指定来自其他域/林的域控制器。类似的东西:
Get-ADGroupMember -Identity $GroupName -Server DC.AnotherDomain.com
答案 1 :(得分:0)
您可以在林中查询域或所有全局目录:get-adforest(属性GlobalCatalogs,Domains) - 我经常这样做: 我拉出了组中所有SID的列表,然后检查了哪个属于我的域/林,其余的是在外部林中搜索的。