有没有办法告诉机器在安全组中的持续时间?

Modified on: Mon, 02 Sep 2019 15:20:02 +0800

计算机被添加到安全组以防止它们获取GPO。我想让这些机器在进入该组30天后被移除。理想情况下,我还希望能够生成组中计算机的报告。

像:

MachineA - 剩下10天

MachineB - 剩下29天

作者:MathewC

最佳答案

如果您有Windows 2012域控制器,是的


我们在哪里可以找到群组成员资格?

当您查看AD组的成员属性时,您将找到可分辨名称格式的所有成员的列表。但就是这样。没有吸烟枪或指纹告诉你他们是如何到达那里的。但是,有一个鲜为人知的数据称为复制元数据,可以准确地告诉我们我们需要什么。这些数据对于群组来说非常特殊,因为它向我们显示了添加和删除个别成员的日期。真棒!但是如果你试图在GUI中查看它,它看起来像丑陋的十六进制。

[...]

脚本

以下是我们一直在等待的PowerShell优点(也附在帖子底部):

Import-Module ActiveDirectory            

$username = "janitor"            
$userobj  = Get-ADUser $username            

Get-ADUser $userobj.DistinguishedName -Properties memberOf |            
 Select-Object -ExpandProperty memberOf |            
 ForEach-Object {            
    Get-ADReplicationAttributeMetadata $_ -Server localhost -ShowAllLinkedValues |             
      Where-Object {$_.AttributeName -eq 'member' -and             
      $_.AttributeValue -eq $userobj.DistinguishedName} |            
      Select-Object FirstOriginatingCreateTime, Object, AttributeValue            
    } | Sort-Object FirstOriginatingCreateTime -Descending | Out-GridView


相关问答

添加新评论