Для нашего доверенного корпоративного рабочего процесса мы установили несколько доверительных отношений доменов AD, например:
Один «главный домен» Active Directory со всеми пользователями AD: Dom-A.extra.com
Пять дополнительных Active Directory для различных корпораций (корпоративных доменов), для компьютеров и групп для доступа к файловому серверу и входу в домен.
Dom-1.intra
Dom-2.intra
Dom-3.intra
Dom-4.intra
Dom-5.intra
Наше рабочее сопоставление «Пользователь<->Группа»: пользователь (из главного домена) находится в локальной группе безопасности домена (из корпоративного домена).
Для аудита моих пользователей и составления списка их разрешений мне нужно просмотреть все группы для него.
Например:
user-1 (from master-domain..) has groupmembership:
Domain: Dom-A.extra.com
Group: all-chat
Group: all-pub
Group: all-vpn
Domain: Dom-1.intra
Group: filesrv_A
Domain: Dom-2.intra
Group: remote_B
Domain: Dom-3.intra
Group: filesrv_C
На вкладке пользователя groupmembership
я вижу только локальные группы домена, но не удаленные группы из доменных доверий.
Если я смотрю в доменных доверенных группах, я вижу пользователей рекламы, но это не совсем похоже на аудит.
Я протестировал некоторые ps
команды, такие как get-adgroupmember
, но все они фильтруют по пользователю (в доверенном домене пользователя нет) или показывают только локальные группы (в главном домене).
Какие-либо предложения?