Windows 审核策略/注册表键命令检查仅适用于域控制器

Question

我正在尝试制作一个可以针对我的所有 Windows 机器运行的命令，以检查“审核分发组管理”审核策略设置是否设置为“成功和失败”。 我只想将此检查应用于域 Controller 服务器以及任何其他服务器类型以回显诸如“NoCheckRequired”之类的内容，这可能吗？

为此，我尝试在 PowerShell 上创建 if-else 语句，但没有成功。

Answer 1

 Get-ADComputer -Filter 'primarygroupid -eq "516"'

将过滤域 controller

Answer 2

我尝试使用“wmic.exe ComputerSystem get DomainRole”命令找出机器类型，据我了解，值 4 / 5 表示 DC 服务器，并使用 IF 语句，我尝试匹配这些值并检查组已设置策略审核设置，并为除 4 / 5 以外的任何其他值返回

wmic.exe ComputerSystem get DomainRole在输出实际值之前将属性名称输出在单独的行上，因此与数字4 （作为示例）进行比较将不起作用。

相反，请使用Get-CimInstance cmdlet：

$CS = Get-CimInstance Win32_ComputerSystem

if($CS.DomainRole -in 4,5){
    # We're on a Domain Controller
}
elseif($CS.DomainRole -in 1,3) {
    # We're on a Domain member
}
else {
    # We're on a workgroup machine
}