无法列出企业管理员的所有成员

【问题标题】:Unable to list all members of a Enterprise Admins无法列出企业管理员的所有成员
【发布时间】:2018-08-16 09:43:34
【问题描述】:

我相信我快疯了,但也许我错过了什么。我正在尝试枚举企业管理员的所有成员。当我查看 DSA.MSC GUI 工具时,我看到类似这样的内容,没有嵌套:

John
Bill
Jim
Sue
Mary
Spiderman

当我执行 LDP.EXE、PowerShell 或 ADSIEDIT 查询时,我只看到:

John
Bill
Sue
Mary

以下是我试图找出这个增量的一些方法:

  • 查看了 ADSIEDIT 中的 Enterprise Admins 并查看了成员属性。不列出蜘蛛侠
  • 查看了 LDP.EXE 中的 Enterprise Admins 并查看了成员属性。不列出蜘蛛侠

运行以下 PowerShell 查询

Get-ADgroup 'enterprise admins' -properties members | 
    select -Expandproperties members
# No Spiderman listed

Get-ADuser spiderman -properties memberof | 
    select -Expandproperties memberof
# No Enterprise Admins listed

Get-ADObject (Get-ADuser spiderman) -properties memberof | 
    select -Expandproperties memberof
# No Enterprise Admins listed

Get-AdObject (Get-ADgroup 'enterprise admins') -properties member | 
    select -Expandproperties members
# No Spiderman listed

Get-ADGroupMembers 'Enterprise Admins'
# **Spiderman listed!!!!!!**

我在这里错过了什么!为什么蜘蛛侠会在 ADUC/Get-AdGroupMembers 中列出,而在其他任何地方都没有。我要疯了吗?

【问题讨论】:

  • 为什么要更改主要组? “用户的主要组仅适用于通过 Macintosh 服务登录网络或运行符合 POSIX 的应用程序的用户。除非您使用这些服务,否则无需从域用户更改主要组,即默认值。”
  • 请看下面我的cmets

标签: powershell active-directory ldap


【解决方案1】:

在 Windows 中,primaryGroupID 表示帐户的主要组由 posix subsystem 使用。

一般如Bill_Stewart 所说,永远没有理由更改primaryGroupID 属性。 (自 Windows Server 2003 起)

primaryGroupID 属性: The user is a member of its primary group, although the group is not listed in the user's memberOf attribute. Likewise, a group object's member attribute will not list the user objects whose primaryGroupID is set to the group.

【讨论】:

  • 感谢您的文章!是时候深入研究一下了。我绝不是提倡切换主 ID。我当前的客户已经设置了这个,它在我的管理员审查中造成了减速。我的一部分是想知道某事的深层技术原因。就像如果两个属性完全分开时,为什么 AD 会以这种方式实际删除组成员身份。再次感谢!
【解决方案2】:

显然,如果我将主要组 ID 切换为 Enterprise admins,它会将其从传统查询中隐藏起来。一旦我将其切换回域用户,我就可以将查询拉回来。

我想知道为什么会这样。

【讨论】:

  • 主要组不属于对象的memberOf 属性。除非您了解其目的并且有非常具体的理由进行更改,否则请勿更改主要组。
  • 正确,我是为第三方环境工作的承包商。问题是AD会将Spiderman的DN从EA组的member属性中移除,并从Spiderman的memberof属性中移除EA的DN。在这一点上,寻找组成员身份的传统场所不是一个选择。我的进一步问题是为什么会发生这种情况。当您更改主组时,为什么 AD 不保留写入的 DN,因为这是两个不同的属性。
  • 您可以在 serverfault 上提出这个特定问题。 Stackoverflow 用于编程问题。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2013-07-24
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode