跨多个域获取组成员身份答案

【问题标题】：Get group membership across several domains跨多个域获取组成员身份
【发布时间】：2014-08-26 12:06:30
【问题描述】：

是否有一种简单的方法可以访问 Active Directory 用户的组成员身份，不仅是本地域用户，还有其他用户？我认为应该工作的方式是遍历森林中的所有域并使用 Get-ADPrincipalGroupMembership。有没有办法使用 System.DirectoryServices 类来做到这一点？是否值得费心尝试用那门课做这件事？该脚本的目的不是快速、肮脏和“正常工作”，而是有点稳定和高效。

【问题讨论】：

如果您尝试并包含一些显示您尝试过的代码，那么效果会更好。您似乎在要求社区为您创建此内容。快速谷歌搜索显示您的一个问题的答案[System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest() | select domains
这是一个选项吗？ technet.microsoft.com/en-us/library/cc733025.aspx

标签： powershell active-directory

【解决方案1】：

我不明白您为什么不使用内置的 Get-ADPrincipalGroupMembership cmdlet 来执行此操作。它有一个参数“-server”，可让您指定受信任的域。

【讨论】：

这是不正确的，-server 参数不能解决这里的问题。换句话说，如果用户属于 DomainA，但属于 DomainB 中的某些组，则无法使用 get-adprincipalGroupMembership -identity -Server 列出此所属的那些 DomainB 组。
我不再有任何测试方法来验证您所说的内容，但它仍然有可能是有效的。您可以简单地使脚本循环遍历域列表，同时为每个域指定 -server 以收集用户所有组成员身份的列表。
其实我发现正确的参数是-ResourceContextServer，大致上应该是这样的get-ADPrincipalGroupMembership -id -Server DomainA -ResourceContextServer DomainB，这样会找到那些DomainB组域用户所属
您是否找到任何方法让一个域的组独立于另一个域？例如，域 1 中有一个用户 A，域 2 中有一个用户 B，所以有没有办法在单个命令中为他们两个获取组。