Für unseren vertrauenswürdigen Unternehmens-Workflow haben wir einige AD-Domänenvertrauensstellungen wie diese installiert:
Eine Active Directory „Master-Domäne“ mit allen AD-Benutzern: Dom-A.extra.com
Fünf zusätzliche Active Directorys für verschiedene Unternehmen (Unternehmensdomänen), für Computer und Gruppen für Dateiserver- und Domänen-Anmeldezugriff.
Dom-1.intra
Dom-2.intra
Dom-3.intra
Dom-4.intra
Dom-5.intra
Unsere funktionierende „Benutzer<->Gruppe“-Zuordnung: Benutzer (aus der Masterdomäne) befindet sich in einer lokalen Domänensicherheitsgruppe (aus der Unternehmensdomäne).
Um meine Benutzer zu prüfen und ihre Berechtigungen aufzulisten, muss ich alle Gruppen dafür sehen.
Wie:
user-1 (from master-domain..) has groupmembership:
Domain: Dom-A.extra.com
Group: all-chat
Group: all-pub
Group: all-vpn
Domain: Dom-1.intra
Group: filesrv_A
Domain: Dom-2.intra
Group: remote_B
Domain: Dom-3.intra
Group: filesrv_C
Auf der Registerkarte „Benutzer“ groupmembership
kann ich nur domänenlokale Gruppen sehen, aber nicht die Remotegruppen aus den Domänenvertrauensstellungen.
Wenn ich in die domänenvertrauenswerten Gruppen schaue, sehe ich die Ad-Benutzer, aber das ist nicht wirklich auditähnlich.
Ich habe einige ps
Befehle wie getestet get-adgroupmember
, aber alle filtern nach Benutzern (in vertrauenswürdigen Domänen gibt es keinen Benutzer) oder zeigen nur lokale Gruppen an (in der Masterdomäne).
Irgendwelche Vorschläge?