Os itens a seguir percorrerão um determinado grupo pai (o nome deverá ser compatível com a sintaxe Get-ADGroupMember
) e preencherão dois hashes. Um hash terá o sAMAccountName do usuário como a chave e uma matriz de associações de grupo direct como o valor. O segundo hash conterá chaves de todos os grupos processados.
Ele detectará e ignorará corretamente os aninhamentos de grupos circulares (por exemplo, pai é filho de filho). Você pode comentar as linhas Write-Host
para menos ruído de linha no console.
Import-Module ActiveDirectory
function Walk-Group ( $group ) {
Get-ADGroupMember $group | Group-Object objectClass -ash | Foreach-Object {
# Add each user to $users hash, add current group to their collection
if ( $_.user ) {
foreach ( $u in $_.user.GetEnumerator() ) {
if ( $users[$u.sAMAccountName] ) {
$users[$u.sAMAccountName] += $group
} else {
$users.Add( $u.sAMAccountName, @($group) )
}
}
}
# Recurse into each child group, skip if group is circular member
if ( $_.group ) {
foreach ( $g in $_.group.GetEnumerator() ) {
if ( $groups[$g.Name] ) {
Write-Host "Existing:" $g.Name
} else {
Write-Host "New Group:" $g.Name
$groups.Add( $g.Name, $true )
Walk-Group $g.Name
}
}
}
}
}
# Hash to collect user/group info.
$users = @{}
# Hash to collect processed groups.
$groups = @{}
# Root group to walk
Walk-Group "Department-staff"
# Display users with mulitple direct memberships
$users.GetEnumerator() | Where-Object { $_.Value.Count -gt 1 }