As máquinas são adicionadas a um grupo de segurança para evitar que obtenham um GPO. Eu gostaria que as máquinas fossem removidas após 30 dias de permanência no grupo. Idealmente, gostaria também de poder gerar um relatório sobre as máquinas do grupo.
Algo como:
MachineA - 10 dias restantes
MachineB - 29 dias restantes
Desde que você tenha um controlador de domínio do Windows 2012, sim !
Onde podemos encontrar os detalhes da associação ao grupo?
Ao examinar o atributo de membro de um grupo do AD, você encontrará uma lista de todos os membros no formato de nome distinto. Mas é isso. Não há nenhuma arma fumegante ou impressões digitais que digam como eles chegaram lá. No entanto, há um dado pouco conhecido chamado metadados de replicação que pode nos dizer exatamente o que precisamos. Esses dados são bastante especiais para grupos, porque nos mostram a data em que membros individuais foram adicionados e removidos. Incrível! Mas se você tentar visualizá-lo na GUI, parecerá um hexágono feio.
[...]
o roteiro
Aqui está a bondade do PowerShell que esperávamos (também anexada na parte inferior da postagem):
A única coisa em que consigo pensar para resolver isso é um truque em que você usa um grupo intermediário como um objeto dinâmico e, em seguida, aninha-o no grupo primário para que o usuário tenha as permissões conferidas ao grupo primário por meio de associação de grupo aninhado, no entanto, o grupo intermediário tem um TTL (tempo de vida, o atributo entry-TTL) e quando esse TTL expirar, o grupo desaparecerá e, portanto, a associação do grupo aninhado desaparecerá. Nomeie o grupo temporário como "Máquina Temporária de 30 dias" ou algo assim.
Isso é conhecido como "Objetos dinâmicos".