Windows 審核策略/注冊表鍵命令檢查僅適用於域控制器

Question

我正在嘗試制作一個可以針對我的所有 Windows 機器運行的命令，以檢查“審核分發組管理”審核策略設置是否設置為“成功和失敗”。 我只想將此檢查應用於域 Controller 服務器以及任何其他服務器類型以回顯諸如“NoCheckRequired”之類的內容，這可能嗎？

為此，我嘗試在 PowerShell 上創建 if-else 語句，但沒有成功。

Answer 1

 Get-ADComputer -Filter 'primarygroupid -eq "516"'

將過濾域 controller

Answer 2

我嘗試使用“wmic.exe ComputerSystem get DomainRole”命令找出機器類型，據我了解，值 4 / 5 表示 DC 服務器，並使用 IF 語句，我嘗試匹配這些值並檢查組已設置策略審核設置，並為除 4 / 5 以外的任何其他值返回

wmic.exe ComputerSystem get DomainRole在輸出實際值之前將屬性名稱輸出在單獨的行上，因此與數字4 （作為示例）進行比較將不起作用。

相反，請使用Get-CimInstance cmdlet：

$CS = Get-CimInstance Win32_ComputerSystem

if($CS.DomainRole -in 4,5){
    # We're on a Domain Controller
}
elseif($CS.DomainRole -in 1,3) {
    # We're on a Domain member
}
else {
    # We're on a workgroup machine
}