Мы используем этот простой сценарий для перечисления всех привилегированных пользователей:
'Domain Admins', 'Administrators', 'Enterprise Admins', 'Schema Admins', 'Server Operators', 'Backup Operators' |
ForEach-Object {$groupName = $_; Get-ADGroupMember -Identity $_ -Recursive |
Get-ADUser -Properties Name, DisplayName |
Select-Object Name, DisplayName, @{n='GroupName';e={ $groupName }}}
Однако следующая ошибка возникает из группы «Администраторы»:
Get-ADGroupMember : The operation being requested was not performed because the user has not been authenticated
At line:2 char:38
+ ForEach-Object {$groupName = $_; Get-ADGroupMember -Identity $_ -Recursive |
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (Administrators:ADGroup) [Get-ADGroupMember], ADException
+ FullyQualifiedErrorId : ActiveDirectoryServer:1244,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Я считаю, что проблемав том, что у нас есть два домена Active Directory.Группа администраторов имеет учетные записи из другого домена.Теперь оба домена доверяют друг другу и должны разрешать доступ друг к другу, но, очевидно, что-то работает неправильно.
Идеальным решением было бы выяснить, как решить проблему (разрешения / настройка AD),Если это слишком сложно, возможно ли ограничить объем запроса, чтобы он оставался в домене AD?Тогда я мог бы запустить скрипт на каждом домене.