Percebi que, quando uso o Powershell para obter a associação de grupo de um grupo de segurança de domínio do Active Directory, o cmdlet do Powershell Get-ADGroupMember $Groupfalha com a mensagem de erro:
PS C:\> get-adgroupmember MyGroup
get-adgroupmember : An operations error occurred
At line:1 char:1
+ get-adgroupmember MyGroup
+ ~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (MyGroup:ADGroup) [Get-ADGroupMember], ADException
+ FullyQualifiedErrorId : ActiveDirectoryServer:8224,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
Tentei especificar o -server $DCparâmetro para que o cmdlet vise um DC específico e, em seguida, verifico os logs de segurança nesse DC enquanto reproduzo o erro e nenhuma auditoria de falha de segurança relevante é gerada. Eu descobri todas as entradas de registro de diagnóstico na services\NTDS\Diagnosticschave e isso também não produz nada de interessante nos logs dos serviços de diretório.
Se eu remover os membros do grupo que residem no outro domínio de MyGroup, o cmdlet funcionará sem problemas.
Curiosamente, noto que se eu executar o comando localmente no próprio DC, ele funciona. Mas quando executo o comando remotamente de um servidor membro, usando a mesma conta de usuário (que é um administrador de domínio), ele falha.
Alguma ideia do que há de errado?
