Como posso verificar a associação ao grupo quando uma conta de usuário é excluída?

Question

Como posso verificar a associação ao grupo quando uma conta de usuário é excluída?

#1 resposta do (3 votos)
#2 resposta do (2 votos)

3

Eu tenho uma tarefa agendada que executa um script do PowerShell quando uma conta de usuário é excluída do Active Directory. Existe uma maneira de verificar a associação do grupo dessa conta de usuário? Eu tentei com

 If ((Get-ADUser $user -Properties MemberOf | Select -ExpandProperty MemberOF) -ccontains $groupname)
    {
      //code
    }

mas, infelizmente, isso não funcionou (e é compreensível o porquê).

Eu estava pensando em algo como usar um arquivo xml personalizado para a criação da tarefa agendada, mas nem neste caso eu não sei qual valor tenho para consultar.

Alguma idéia?

active-directory powershell scheduled-task

por Pandoranum 18.01.2016 / 08:39

2 respostas

Tags active-directory powershell scheduled-task

Ansible trava no git clone O que o try_files faz nessa configuração nginx?

score 3 · Answer 1

Após um objeto de conta de usuário ser excluído, o SID será removido de todos os grupos dos quais o objeto era membro. Essa é a razão pela qual eu pessoalmente prefiro desativar as contas de usuário, em vez de excluí-las.

No entanto, se você ativou o recurso Lixeira do Active Directory , poderá restaurar o objeto da conta do usuário e todas as informações de associação do grupo com ele.

Existem várias maneiras de fazer isso. Eu prefiro usar o PowerShell. Aqui está um exemplo:

 Get-ADObject -Filter {displayName -eq "Mary"} -IncludeDeletedObjects | Restore-ADObject

Se você quiser ler mais sobre o assunto, consulte a Guia passo a passo da Lixeira do Active Directory

Também sugiro que você ative o referido recurso, se ainda não o fez.

A segunda opção seria recorrer aos backups do Active Directory, se a solução de backup oferecer suporte à restauração granular de objetos do AD.

score 2 · Answer 2

Você não pode verificar nada após uma conta de usuário é excluída, porque o AD não tem mais nenhuma informação sobre ela; sua única opção é verificar a associação ao grupo (ou qualquer outra informação que você possa precisar) antes excluir a conta do usuário.