AD検索を実行せずにコンピュータのADグループメンバーシップを取得する同等の方法はありますか?私は、マシンが標準のユーザーアカウントとして実行されているドメインコントローラへの接続性を持たない場合でも、ADのコンピュータグループメンバーシップのグループSIDを取得できる必要があります。AD検索なしでコンピュータグループメンバーシップを取得
現在のコンピュータアカウントを除いて、これに相当するものを本質的に探します。
$groups = [System.Security.Principal.WindowsIdentity]::GetCurrent().Groups
リバースエンジニアリングgpresultでこれを行う方法を工夫しました。これを行うには、まず管理者として標準ユーザーにWMI名前空間へのアクセスを許可しましたroot\rsop\COMPUTER
これを行う必要はありませんが、詳しい調査が必要です。今私はマシンからActive DirectoryのコンピュータグループSIDsを取得することができますスクリプトSet-WmiNamespaceSecurity.ps1
Set-WmiNamespaceSecurity.ps1 root/rsop/COMPUTER add Users Enable
を使用して、機械の
ワンタイム設定は、それが次のPowerShellを使用してネットワークに接続されていない場合でも、標準ユーザーとして、です:
(Get-WmiObject -Namespace "root\rsop\COMPUTER" -Class RSOP_Session -Property SecurityGroups).SecurityGroups
その情報がADであるので、いや、あなたはそれが* *なしで取得することはできません実際にADに話し、私は怖い... –
この情報がキャッシュされるので、はい、それは、少なくとも、それを得ることが可能ですSID私が与えたユーザグループメンバーシップの例によると、AD接続のないユーザADグループのメンバーシップ(グループのSIDとして)を示しています。コンピュータグループの例はgpresult/hです.htmは、AD接続なしのコンピュータドメイングループメンバシップのSIDを表示します。私はgpresultがそれをどのように取得するかについて、さらに分析します。 –