對於我們受信任的公司工作流程,我們安裝了一些 AD 網域信任,如下所示:
包含所有 AD 使用者的一個 Active Directory「主域」:Dom-A.extra.com
五個額外的 Active Directory 用於不同的公司(公司網域)、用於檔案伺服器和網域登入存取的電腦和群組。
Dom-1.intra
Dom-2.intra
Dom-3.intra
Dom-4.intra
Dom-5.intra
我們的工作「使用者<->群組」對應:使用者(來自主網域)位於本地網域安全群組(來自公司網域)。
要審核我的使用者並列出他們的權限,我需要查看其所有群組。
喜歡:
user-1 (from master-domain..) has groupmembership:
Domain: Dom-A.extra.com
Group: all-chat
Group: all-pub
Group: all-vpn
Domain: Dom-1.intra
Group: filesrv_A
Domain: Dom-2.intra
Group: remote_B
Domain: Dom-3.intra
Group: filesrv_C
在使用者標籤中,groupmembership
我只能看到網域本機群組,但看不到網域信任中的遠端群組。
如果我查看網域信任群組,我會看到廣告用戶,但這並不是真正的審計。
我測試了一些ps
命令,例如get-adgroupmember
,但所有這些命令都會過濾使用者(在受信任的網域中沒有使用者)或僅顯示本機群組(在主網域上)。
有什麼建議麼?