使用 PowerShell 进行 Active Directory 查询答案

【问题标题】：Active Directory Querying with PowerShell使用 PowerShell 进行 Active Directory 查询
【发布时间】：2017-05-30 18:14:25
【问题描述】：

我正在构建关于我们的活动目录组的报告，但在涉及不同的森林时遇到了困难。

我们有来自 ForestA 的组，其中有来自 ForestB 的用户。我能够使用 Quest AD 拉出这些组：

 $GroupUsers = Get-QADGroupMember $GroupName -Type 'user' -Indirect

唯一的问题是，即使里面的用户来自林 B，他们也会显示他们来自林 A。它们确实存在于两个森林中，不知道这是否有问题。

关于为什么会发生这种情况的任何线索？

提前致谢。

【问题讨论】：

【解决方案1】：

Get-ADGroupMember cmdlet 的 -Server 参数可以在其中指定来自另一个域/林的域控制器。比如：

Get-ADGroupMember -Identity $GroupName -Server DC.AnotherDomain.com

【讨论】：

每当我使用此参数时，我都会收到相同的错误：无法联系服务器。这可能是因为此服务器不存在、当前已关闭，或者它没有运行 Active Directory Web 服务。这很有趣，因为我可以使用 QAD-getmember 进行连接
嗯，您需要识别其他林中的域控制器。除了从另一个林中的域服务之外，我看不到 Quest 获取该信息的任何其他方式。尝试运行这个Get-ADDomainController -DomainName AnotherDomain.com，然后查询返回的服务器。
我得到的只是：域：ttbb.bb-group.com 森林：bb-group.com 主机名：{ttao10p00053.ttbb.bb-group.com} IPv4Address：199.xx.xx .28 IPv6Address : Name : TTAO10P00053 Site : TAO01 但是使用此信息查询不起作用

【解决方案2】：

您可以在森林中查询域或所有全局目录：get-adforest (properties GlobalCatalogs,Domains) - 我经常这样做：我提取了组中所有 SID 的列表，然后检查了哪个属于我的域/林，其余的在外部林中搜索。

【讨论】：