使用PowerShell进行Active Directory查询

Question

我正在针对我们的活动目录组构建报告，并且在涉及不同的森林时遇到了困难。

我们有来自forestA的组和来自forestB的用户。 我能够使用Quest AD来拉那些小组：

 $GroupUsers = Get-QADGroupMember $GroupName -Type 'user' -Indirect 

唯一的问题是，即使内部用户来自林B，他们也会显示他们来自林A。 它们确实存在于两个森林中，不知道这是否是一个问题。

为什么会发生这种情况的任何线索？

提前致谢。

Answer 1

有Get-ADGroupMember cmdlet的-Server参数，您可以在其中从另一个域/林中指定域控制器。 就像是：

Get-ADGroupMember -Identity $GroupName -Server DC.AnotherDomain.com

Answer 2

您可以查询林中的域或所有全局目录：get-adforest（属性GlobalCatalogs，Domains）-我经常这样做：我拉出组中所有SID的列表，然后检查哪个属于我的域/林，其余人员在外部森林中进行了搜索。