MathewC Asked: 2014-12-11 07:26:37 +0800 CST2014-12-11 07:26:37 +0800 CST 2014-12-11 07:26:37 +0800 CST 有没有办法知道机器在安全组中的时间? 772 机器被添加到安全组以防止它们获得 GPO。我希望这些机器在加入小组 30 天后被移除。理想情况下,我还希望能够生成关于组中机器的报告。 就像是: MachineA - 还剩 10 天 MachineB - 还剩 29 天 windows 2 个回答 Voted Best Answer HopelessN00b 2014-12-11T07:57:31+08:002014-12-11T07:57:31+08:00 如果您有 Windows 2012 域控制器,可以! 我们在哪里可以找到群组成员的详细信息? 当您查看 AD 组的成员属性时,您会发现以专有名称格式列出的所有成员的列表。但就是这样。没有确凿的证据或指纹可以告诉您他们是如何到达那里的。但是,有一个鲜为人知的数据称为复制元数据,它可以准确地告诉我们我们需要什么。该数据对于组来说非常特殊,因为它向我们显示了添加和删除单个成员的日期。惊人的!但是,如果您尝试在 GUI 中查看它,它看起来像丑陋的十六进制。 [...] 剧本 这是我们一直在等待的 PowerShell 优点(也附在帖子的底部): Import-Module ActiveDirectory $username = "janitor" $userobj = Get-ADUser $username Get-ADUser $userobj.DistinguishedName -Properties memberOf | Select-Object -ExpandProperty memberOf | ForEach-Object { Get-ADReplicationAttributeMetadata $_ -Server localhost -ShowAllLinkedValues | Where-Object {$_.AttributeName -eq 'member' -and $_.AttributeValue -eq $userobj.DistinguishedName} | Select-Object FirstOriginatingCreateTime, Object, AttributeValue } | Sort-Object FirstOriginatingCreateTime -Descending | Out-GridView Ryan Ries 2014-12-11T07:57:12+08:002014-12-11T07:57:12+08:00 我能想到的唯一解决这个问题的方法是使用中间组作为动态对象,然后将其嵌套到主组中,这样用户就可以通过嵌套组成员资格授予主组的权限,但是,中间组有一个 TTL(生存时间,entry-TTL 属性),当该 TTL 到期时,该组将消失,因此嵌套组成员资格将消失。将临时组命名为“MachineA 30 Day Temporary”之类的名称。 这被称为“动态对象”。
如果您有 Windows 2012 域控制器,可以!
我们在哪里可以找到群组成员的详细信息?
当您查看 AD 组的成员属性时,您会发现以专有名称格式列出的所有成员的列表。但就是这样。没有确凿的证据或指纹可以告诉您他们是如何到达那里的。但是,有一个鲜为人知的数据称为复制元数据,它可以准确地告诉我们我们需要什么。该数据对于组来说非常特殊,因为它向我们显示了添加和删除单个成员的日期。惊人的!但是,如果您尝试在 GUI 中查看它,它看起来像丑陋的十六进制。
[...]
剧本
这是我们一直在等待的 PowerShell 优点(也附在帖子的底部):
我能想到的唯一解决这个问题的方法是使用中间组作为动态对象,然后将其嵌套到主组中,这样用户就可以通过嵌套组成员资格授予主组的权限,但是,中间组有一个 TTL(生存时间,entry-TTL 属性),当该 TTL 到期时,该组将消失,因此嵌套组成员资格将消失。将临时组命名为“MachineA 30 Day Temporary”之类的名称。
这被称为“动态对象”。