Existe uma maneira de dizer há quanto tempo uma máquina está em um grupo de segurança?

Navegue suas respostas
5

As máquinas são adicionadas a um grupo de segurança para impedir que elas recebam um GPO. Eu gostaria que as máquinas fossem removidas após 30 dias de estar no grupo. Idealmente, gostaria de poder gerar um relatório sobre as máquinas no grupo.

Algo como:

MachineA - 10 dias restantes

MachineB - 29 dias restantes

    
por MathewC 10.12.2014 / 16:26

2 respostas

11

Contanto que você tenha um controlador de domínio do Windows 2012, sim !

Onde podemos encontrar detalhes da associação do grupo?

Ao pesquisar o atributo de membro de um grupo do AD, você encontrará uma lista de todos os membros no formato de nome distinto. Mas é isso. Não há nenhuma arma fumegante ou impressões digitais que lhe digam como chegaram lá. No entanto, há um dado pouco conhecido chamado metadados de replicação que pode nos dizer exatamente o que precisamos. Esses dados são muito especiais para grupos, porque nos mostram a data em que os membros individuais foram adicionados e removidos. Impressionante! Mas se você tentar vê-lo na GUI, parece feio.

[...]

O script

Aqui está a bondade do PowerShell que esperávamos (também anexada na parte inferior da postagem): 

Import-Module ActiveDirectory            

$username = "janitor"            
$userobj  = Get-ADUser $username            

Get-ADUser $userobj.DistinguishedName -Properties memberOf |            
 Select-Object -ExpandProperty memberOf |            
 ForEach-Object {            
    Get-ADReplicationAttributeMetadata $_ -Server localhost -ShowAllLinkedValues |             
      Where-Object {$_.AttributeName -eq 'member' -and             
      $_.AttributeValue -eq $userobj.DistinguishedName} |            
      Select-Object FirstOriginatingCreateTime, Object, AttributeValue            
    } | Sort-Object FirstOriginatingCreateTime -Descending | Out-GridView

    
por 10.12.2014 / 16:57
5

A única coisa em que posso pensar para resolver isso é um truque em que você usa um grupo intermediário como um objeto dinâmico e, em seguida, aninha isso no grupo primário para que o usuário tenha as permissões conferidas ao grupo primário por meio de aninhado associação de grupo, no entanto, o grupo intermediário tem um TTL (time to live, o atributo entry-TTL) e quando esse TTL expirar, o grupo desaparecerá e, portanto, a associação do grupo aninhado desaparecerá. Nomeie o grupo temporário como "MachineA 30 Day Temporary" ou algo assim.

Isso é conhecido como "Objetos dinâmicos".

    
por 10.12.2014 / 16:57

Tags

Erros de inicialização de log nomeados / BIND? Login remoto para o mac