O Powershell mostra os usuários que são membros de um grupo duas vezes - uma vez diretamente e uma vez indiretamente

Question 1

O seguinte percorrerá um determinado grupo pai (o nome deve ser compatível com Get-ADGroupMembera sintaxe) e preencherá dois hashes. Um hash terá o usuário sAMAccountName como chave e uma matriz dediretoassociações de grupo como o valor. O segundo hash conterá as chaves de todos os grupos processados.

Ele detectará e pulará corretamente os aninhamentos de grupos circulares (por exemplo, pai é filho de filho). Você pode comentar as Write-Hostlinhas para obter menos ruído de linha no console.

Import-Module ActiveDirectory

function Walk-Group ( $group ) {

    Get-ADGroupMember $group | Group-Object objectClass -ash | Foreach-Object {

        # Add each user to $users hash, add current group to their collection
        if ( $_.user ) {
            foreach ( $u in $_.user.GetEnumerator() ) {
                if ( $users[$u.sAMAccountName] ) {
                    $users[$u.sAMAccountName] += $group
                } else {
                    $users.Add( $u.sAMAccountName, @($group) )
                }
            }
        }

        # Recurse into each child group, skip if group is circular member
        if ( $_.group ) {
            foreach ( $g in $_.group.GetEnumerator() ) {
                if ( $groups[$g.Name] ) {
                    Write-Host "Existing:" $g.Name
                } else {
                    Write-Host "New Group:" $g.Name
                    $groups.Add( $g.Name, $true )
                    Walk-Group $g.Name
                }
            }
        }

    }
}

# Hash to collect user/group info.
$users = @{}

# Hash to collect processed groups.
$groups = @{}

# Root group to walk
Walk-Group "Department-staff"

# Display users with mulitple direct memberships
$users.GetEnumerator() | Where-Object { $_.Value.Count -gt 1 }

Answer

O seguinte percorrerá um determinado grupo pai (o nome deve ser compatível com Get-ADGroupMembera sintaxe) e preencherá dois hashes. Um hash terá o usuário sAMAccountName como chave e uma matriz dediretoassociações de grupo como o valor. O segundo hash conterá as chaves de todos os grupos processados.

Ele detectará e pulará corretamente os aninhamentos de grupos circulares (por exemplo, pai é filho de filho). Você pode comentar as Write-Hostlinhas para obter menos ruído de linha no console.

Import-Module ActiveDirectory

function Walk-Group ( $group ) {

    Get-ADGroupMember $group | Group-Object objectClass -ash | Foreach-Object {

        # Add each user to $users hash, add current group to their collection
        if ( $_.user ) {
            foreach ( $u in $_.user.GetEnumerator() ) {
                if ( $users[$u.sAMAccountName] ) {
                    $users[$u.sAMAccountName] += $group
                } else {
                    $users.Add( $u.sAMAccountName, @($group) )
                }
            }
        }

        # Recurse into each child group, skip if group is circular member
        if ( $_.group ) {
            foreach ( $g in $_.group.GetEnumerator() ) {
                if ( $groups[$g.Name] ) {
                    Write-Host "Existing:" $g.Name
                } else {
                    Write-Host "New Group:" $g.Name
                    $groups.Add( $g.Name, $true )
                    Walk-Group $g.Name
                }
            }
        }

    }
}

# Hash to collect user/group info.
$users = @{}

# Hash to collect processed groups.
$groups = @{}

# Root group to walk
Walk-Group "Department-staff"

# Display users with mulitple direct memberships
$users.GetEnumerator() | Where-Object { $_.Value.Count -gt 1 }

Question 2

EDIT: com base na sua descrição atualizada, algo assim deve funcionar. Observe que eu não cuidei dos loops na associação ao grupo, então você pode encontrá-lo funcionando para sempre.

$RootGroup=Get-ADGroup "your group here" 
$username = "test user here"

Function RecurseMembership( $FromAbove, $username ) 
{
"------------------------------------------------------"
    $FromAbove


    $LevelUsers=$FromAbove | Get-ADGroupMember | where { $_.objectClass -eq "user" -and $_.SamAccountName -eq "$username" }
    $LevelGroups=$FromAbove | Get-ADGroupMember | where { $_.objectClass -eq "group" }

    $LevelUsers
    $LevelGroups | ForEach-Object { RecurseMembership $_ $username } 

}

RecurseMembership $RootGroup $username

Answer

EDIT: com base na sua descrição atualizada, algo assim deve funcionar. Observe que eu não cuidei dos loops na associação ao grupo, então você pode encontrá-lo funcionando para sempre.

$RootGroup=Get-ADGroup "your group here" 
$username = "test user here"

Function RecurseMembership( $FromAbove, $username ) 
{
"------------------------------------------------------"
    $FromAbove


    $LevelUsers=$FromAbove | Get-ADGroupMember | where { $_.objectClass -eq "user" -and $_.SamAccountName -eq "$username" }
    $LevelGroups=$FromAbove | Get-ADGroupMember | where { $_.objectClass -eq "group" }

    $LevelUsers
    $LevelGroups | ForEach-Object { RecurseMembership $_ $username } 

}

RecurseMembership $RootGroup $username

O Powershell mostra os usuários que são membros de um grupo duas vezes - uma vez diretamente e uma vez indiretamente

Responder1

Responder2

informação relacionada