Exibindo todos os grupos dos quais um usuário de outro domínio é membro de

Question

Exibindo todos os grupos dos quais um usuário de outro domínio é membro de

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Minha equipe e eu estamos perplexos com isso.

Temos dois domínios no trabalho, OldDomain e NewDomain. Estamos trabalhando na migração do OldDomain para o NewDomain conforme determinado pela ParentCompany. A confiança é unidirecional, a OldDomain confia na NewDomain, mas a NewDomain não confia na OldDomain.

O problema que estamos enfrentando é que os usuários do NewDomain foram adicionados aos grupos locais de domínio no OldDomain. Portanto, quando alguém nos pede para criar o UserB em NewDomain, os direitos de espelhamento do UserA, não temos como saber se o UserA é um membro de qualquer grupo no OldDomain.

O que eu preciso de algum conselho, direção ou ajuda é uma ferramenta, script ou método de pesquisa do OldDomain para todos os grupos que têm o UserA como membro. Analisei alguns comandos no PowerShell, nos Usuários e Computadores do AD, bem como no DSQuery e no DSGet, mas a única coisa que estamos fazendo é despejar todos os grupos e membros do OldDomain para um CSV e pesquisar o CSV para o SID do UserA.

Se alguém se deparou com isso, e pode dar alguma informação sobre mim, seria muito apreciado!

active-directory powershell windows-server-2008

por KiltedBuckeye 14.03.2014 / 21:08

3 respostas

Tags active-directory powershell windows-server-2008

NFS: forçar o modo de arquivo / máscara na montagem? Configuração de DNS da MS para serviços de gerenciamento de chaves

score 1 · Answer 1

SE você estiver migrando tudo de um domínio para outro, deverá usar a ADMT (Ferramenta de Migração do Active Directory). Isso permitirá que você migre seus objetos de usuário / grupo / Servidores / Recursos / etc. Você copia os objetos de grupo para o novo domínio primeiro e copia os objetos de usuário.

Quando você executa a operação nessa ordem, pode selecionar a opção para manter a associação ao grupo. Isso também adicionará o SID do grupo no domínio OLD, ao atributo SIDHistory do grupo no domínio NEW.

Isso permite que os usuários que estão em grupos apenas no novo domínio se autentiquem nos recursos que somente o grupo de domínios OLD aplicou a eles.

score 0 · Answer 2

Usar Get-ADUser -Identity <<samAccountName>> -Properties memberOf retornará uma matriz de todos os grupos em que um usuário se encontra. Ele gera Nomes Distintos para que seja rápido rastreá-los.

No seu caso, você precisará se conectar remotamente a um controlador de domínio para 'OldDomain' para obter resultados do Commandlet.

score 0 · Answer 3

Como o oldDomain confia no newDomain, não vejo por que você não pode usar o get-aduser com o parâmetro -server apontando para um DC no oldDomain.

Ou apenas para fazer o trabalho, um método não tão simples é apenas despejar associações de grupos dentro do oldDomain para um arquivo CSV / txt, então usar esse arquivo como sua fonte no newDomain, da maneira que você quiser