このPowerShell ADクエリから「ドメインユーザー」グループが欠落しているのはなぜですか?
次のPowerShellスクリプトを実行して、グループのリストを比較しました。
$dasMem = Get-ADUser -Server "<some-srv>" -Identity "<some-usr>" -Properties MemberOf | Select MemberOf
$blahx = $dasMem.MemberOf | % { $_ -replace "^CN=", "" } | % { $_ -replace ",.*$", "" } | sort
$blahx
リストを手に入れたら、グループがなくなってしまったDomain usersこれは標準のデフォルトグループだと思います。スクリプトをプルしたときに見つからない理由はありますか?
明確にするために、グループをActive Directory Users and Computers、ただし上記のスクリプトからではありません。
馬鹿げたことに聞こえるかもしれませんが、それはDomain Usersが実際にはmemberOf属性に含まれていないためです。 ADUCで確認するには、View - Advanced Featuresをオンにして、オブジェクトのAttributesタブに移動し、memberOf属性を開きます(「メンバー」タブではありません)。
ADUCのオブジェクトのプロパティに表示される[メンバー]タブは、実際にはmemberOf属性and primaryGroupID属性の集まりです。デフォルトでは、ADのユーザーは、memberOfのエントリではなく、このprimaryGroupID属性を介してドメインユーザーメンバーシップを取得します。 primaryGroupIDを変更することは可能ですが、ほとんどの人は変更できません。