Hege Jacobsen's questions

作为一家为我们的客户提供 IT 系统、服务器和一切的 IT 公司。当涉及到 Active Directory 和用户离开公司时，我试图找到最佳实践。我们在不同类型的企业中拥有不同类型的客户，无论大小。所以，我们有相当多的服务器和许多 Active Directory 需要维护。有人告诉我，我们绝不能删除 AD 中的用户对象，如果重用用户名，这是一个很大的安全问题。有人告诉我的原因是，新用户可能会获得与以前使用过的用户名相同的用户名，这可能会给他带来他不应该拥有的访问权限。就像直接在共享文件夹上而不是通过安全组授予的访问权限一样。

我研究并阅读了很多关于这个主题的文档和其他论坛帖子，发现自己不太确定。我学到的关于 AD 的一切都是它为每个与用户名无关的对象使用唯一的 SID。因为用户名可以更改，所以 SID 不能更改或重复使用。根据我的发现，将帐户长时间存储为 AD 中的禁用状态似乎存在很大风险？

我已经研究了制作将用户名转换为哈希的脚本的可能性，该脚本存储在数据库中，我们可以让 AD 检查用户名是否可用或以前使用过。因此，我们可以在一段时间后删除用户对象。但是现在我想知道是否真的有任何理由做所有这些工作，如果重用旧用户名真的那么糟糕吗？我们的一些客户的广告有 2000 名残疾用户，有些超过 2 岁。我们创建了一个新的“OU”，我们将其与用户分离并禁用了 ou，但我们仍然想从 AD 中删除它们，没有看到将对象保留多年以避免用户名被重用的原因。

我想知道这方面是否有已知的最佳实践，常见的做法是什么？重用用户名或“永久”存储用户名是最大的风险吗？会不会有关于 Ldap 查询、citrix、exchange 或其他系统的问题？

感谢您提供任何好的建议和信息。

在对共享邮箱授予完全访问权限和 sendAS 权限时，需要说明“启用邮件的安全组”与“安全组”相比如何工作。

由于使用“AD 安全组”提供完全访问权限不会自动映射 Outlook 中的邮箱，因此我读到将其更改为“启用邮件的安全组”，所以我在交换管理 shell 中执行了此操作：

启用-DistributionGroup -身份“名称”

并获得许可，我使用了：

“Add-MailboxPermission -Identity “邮箱名称” -User “组名称” -AccessRights FullAccess -InheritanceType All -AutoMapping $true “

这将确保邮箱在他们的 Outlook 中自动映射？但是现在我对这个“启用邮件的安全组”有点困惑，它显示在 EMC 下的组中（我们通常使用的安全组只在 AD 中）并且它有自己的电子邮件地址？启用邮件的安全组的实际功能是什么，因为它有自己的地址，这将如何显示给成员用户？

我在尝试“修复”从同事那里获得的 PS 脚本以从客户广告中获取信息时遇到问题。我正在尝试获取所有分发邮箱及其成员的列表。但是他给我的脚本不起作用，我试图改变一些，但由于我还在学习 PowerShell，我发现自己卡住了，真的不明白他的脚本试图做什么。

Groups = Get-ADGroup -Filter * -SearchBase OU=costumer,OU=companies,DC=domene,DC=oss"

$Results = foreach( $Group in $Groups ){

Get-ADGroupMember -Identity $Group | foreach {

[pscustomobject]@{

        GroupName = $Group.Name

        Name = $_.Name

        }

    }

}
$Results| Export-Csv -Path c:\data\groups.csv -NoTypeInformation? -Encoding 
unicode

当我运行此脚本时，我从一开始就收到错误，因为“Groups =”无法识别组。

所以我把开始改成：

Get-ADGroup -filter * -Searchbase "OU=Distribution,OU=Groups,OU=Costumer,OU=Companies,DC=domene,DC=oss"

这是我想要的 AD 对象的完整路径，我已经测试了这个突击队并获得了完整列表。但我没有得到有关 goupobjects 成员的信息。我已经尝试在脚本的底部进行更改，但是一直在“-identity”上返回一个错误，我在它之后写什么并不重要。

有人可以帮助我编写更好的代码来获取我需要的信息吗？也许解释一下这个脚本试图做什么？

非常感谢您的帮助。

编辑 1

感谢您的帮助！我现在让脚本运行并获得 .cvs 文件。但我想知道我是否还有其他问题。它应该返回 AD 中的组和组成员，但我得到的结果不是这个。我附上了我在excel中打开它时的截图。

我的脚本中是否还缺少其他内容来获取信息？

解决方案

我找到了一种更改脚本以使其获得所需内容的方法，并且它起作用了。它可能不仅仅是获得我需要的信息，而是我得到了我需要的结果。：） 谢谢！

$GruppeMedlemmer = @()

$Groups = Get-ADGroup -Filter * -properties * -SearchBase "ou=felles,OU=Groups,OU=costumer,OU=Companies,DC=domene,DC=oss"

foreach ($g in $Groups) {
$members = $g | Get-ADGroupMember 
     foreach ($m in $members) {
       $Info = New-Object psObject 
       $Info | add-member -MemberType NoteProperty -Name "GroupName" -Value $g.Name
       $Info | add-member -MemberType NoteProperty -Name "Description" -Value $g.description
       $Info | add-member -MemberType NoteProperty -Name "Member of" -Value $g.MemberOf
       $Info | Add-Member -MemberType NoteProperty -Name "Member" -Value $m.name
       $GruppeMedlemmer+= $Info
     }
  }

$GruppeMedlemmer | Sort-Object GroupName | Export-CSV C:\temp\groupdist.csv -notype -Encoding unicode