Powershell: попытка идентифицировать учетные записи AD без определенной группы разрешений

Question

Я пытаюсь перечислить все учетные записи в OU наших пользователей, у которых нет определенной учетной записи на их вкладке безопасности.Мы настроили эту учетную запись для наследования от родителя, но некоторые учетные записи, похоже, не работают должным образом.

Я пробовал следующее, но он просто показывает пользователей, которые имеют учетную запись, а не тех, которые не имеют«т.Я пробовал переменную -ne, но кажется, что она просто удаляет учетную запись из списка.

Get-QADUser -SearchRoot 'domain / Accounts / Users / Corporate' -SecurityMask Dacl |Get-QADPermission -SchemaDefault -Inherited |Where-Object {$ _. AccountName -eq 'domain \ Prod_Svc_RLoader'}

Мне нужен только список учетных записей, а не список разрешений.

Я знаю, что пропустил что-то очевидное, простоне могу понять, что!

Ура, Стивен.

Answer 1

Поместите ваш объект Where ранее в конвейер.Попробуйте что-то вроде этого:

Get-QADUser -SearchRoot 'domain/Accounts/Users/Corporate' -SecurityMask Dacl | Where-Object -FilterScript { -not (Get-QADPermission $_ -SchemaDefault -Inherited | Where-Object {$_.AccountName -eq 'domain\Prod_Svc_RLoader' }) }

Я не знаком с командлетами Quest AD, но, надеюсь, вы увидите, что мы пытаемся сделать здесь.По сути, мы «не замечаем» пользователей, у которых do есть ACE для Prod_Svc_RLoader в их DACL.