Zombian Asked: 2017-08-03 08:02:06 +0800 CST2017-08-03 08:02:06 +0800 CST 2017-08-03 08:02:06 +0800 CST 获取所有不在父组中的 AD 用户 772 我有一个小组,我使用命名人员。它是几个嵌套组的父级。我需要审核该组以列出不属于该组的用户或其中的任何嵌套子组。我找到了可以为我提供不属于 Staff 组的用户的脚本,但它不包括任何子组,因此用户可能是子组的一部分,但仍被列为不在父组。我不想为父母的每个子组编写脚本。 有没有办法列出不属于组的所有帐户,但也列出所有子帐户? active-directory 1 个回答 Voted Best Answer Clayton 2017-08-03T10:20:51+08:002017-08-03T10:20:51+08:00 您可以使用它所谓的LDAP_MATCHING_RULE_IN_CHAIN运算符来运行这样的单个 LDAP 查询。此运算符的数字 OID 是1.2.840.113556.1.4.1941。通过将数字 OID 放在属性和正在搜索的值之间,您可以在 LDAP 搜索中请求这种类型的选项(attribute:OID:=DN)。您可以使用 PowerShell cmdLet 运行 LDAP 查询,如下所示: get-adobject -ldapfilter "(&(objectcategory=person)(objectclass=user)(!memberof:1.2.840.113556.1.4.1941:=CN=some,CN=group,DC=yourco,DC=com))" 此查询还使用 not (!) 运算符,因为您正在查找不是该组的嵌套成员的用户。您还可以通过选择“自定义搜索”和“高级”选项卡通过 ADUC/DSA 运行 LDAP 查询。 两篇 MS 文章涵盖了这一点以及有关使这成为可能的 LDAP 搜索语法的一些其他细节: https://support.microsoft.com/en-us/help/914828/a-hotfix-is-available-that-improves-the-performance-of-programs-that-q https://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx
您可以使用它所谓的
LDAP_MATCHING_RULE_IN_CHAIN运算符来运行这样的单个 LDAP 查询。此运算符的数字 OID 是1.2.840.113556.1.4.1941。通过将数字 OID 放在属性和正在搜索的值之间,您可以在 LDAP 搜索中请求这种类型的选项(attribute:OID:=DN)。您可以使用 PowerShell cmdLet 运行 LDAP 查询,如下所示:此查询还使用 not (!) 运算符,因为您正在查找不是该组的嵌套成员的用户。您还可以通过选择“自定义搜索”和“高级”选项卡通过 ADUC/DSA 运行 LDAP 查询。
两篇 MS 文章涵盖了这一点以及有关使这成为可能的 LDAP 搜索语法的一些其他细节: