Динамическое членство в группе AD для компьютеров

Question

Я пытаюсь написать скрипт, который я могу запустить для динамического управления компьютерами в группе безопасности в AD. Я успешно сделал первый бит, но хотел бы внести некоторые дополнения. Пока что у меня есть: $computers = Get-ADComputer -Filter * -Searchbase "OU=Clients,OU=Devices,DC=domain,DC=local" | select-object -expandproperty DistinguishedName | out-file C:\computers.txt Get-Content c:\computers.txt | Add-ADPrincipalGroupMembership -MemberOf 'Group_C'

Я хотел бы исключить машины, которые уже относятся к Group_A и Group_B, и удалить машины из группы C, если они больше не отображаются в computers.txt

Answer 1

Следующее исключит компьютеры из Group_A и Group_B:

$GroupA_DN = "<GroupA DistinguishedName>"
$GroupB_DN = "<GroupB DistinguishedName>"

Get-ADComputer -filter {memberof -ne $GroupA_DN -and memberof -ne $GroupB_DN}

Переменная $GroupA_DN должна содержать строку с отличительным именем группы A. Например, $GroupA_DN = "CN=Group_A,OU=SomeOU,OU=Clients,OU=Devices,DC=domain,DC=local".То же самое нужно будет повторить для группы B в соответствующей переменной.