Active Directory - скрипт для поиска всех пользователей, которые не входят в набор групп?

Question

У меня есть набор из 10 групп AD. Я хотел бы программно выяснить, какие пользователи в домене AD НЕ являются членами этих 10 групп. Есть только один домен. Я знаю, что можно выполнять запросы ADO SQL в VBScript, но мне было интересно (надеюсь, молиться), если у кого-то был готовый скрипт?

Я полагаю, что хакерский путь может быть:

1. Дамп всех пользователей из 10 групп
2. Дамп всех пользователей домена
3. Беги по ветру на 2 свалки

Есть идеи?

Answer 1

Для всех, кто заинтересован, это работает:

(&(objectCategory=Person)
    (&
        (!memberOf=CN=group1,dc=company,dc=local)
        (!memberOf=CN=group2,dc=company,dc=local)
        (!memberOf=CN=group3,dc=company,dc=local)
    )
)

Answer 2

System.DirectoryServices предоставляет возможность писать запросы LDAP. что-то вроде этого: (& (ObjectClass = Пользователь) (! Memberof = сп = group1, ...) (! Memberof = сп = group2, ...) (! Memberof = сп = group3, ...))

Я считаю, что каждый член условия должен быть четко прописан.

Я просто отвечаю быстро, поэтому у меня нет 100% кода, чтобы показать вам.