Powershell：試圖識別沒有特定權限組的AD帳戶

Question

我想列出我們用戶OU中的所有帳戶，這些帳戶在其安全選項卡中沒有特定帳戶。我們已將此帳戶設置爲從父級繼承，但有些帳戶似乎無法正常工作。

我嘗試了以下方法，但它只是顯示擁有帳戶的用戶，而不是那些沒有的用戶。我已經嘗試了-ne變量，但似乎是從列表中刪除該帳戶。

Get-QADUser -SearchRoot'domain/Accounts/Users/Corporate'-SecurityMask Dacl | Get-QADPermission -SchemaDefault -Inherited | Where-Object {$ _。AccountName -eq'domain \ Prod_Svc_RLoader' }

我只需要帳戶列表，而不是權限列表。

我知道我錯過了一些明顯的東西，只是無法弄清楚什麼！

乾杯， Stephen。

Answer 1

將您的位置對象放在前面。嘗試這樣的：

Get-QADUser -SearchRoot 'domain/Accounts/Users/Corporate' -SecurityMask Dacl | Where-Object -FilterScript { -not (Get-QADPermission $_ -SchemaDefault -Inherited | Where-Object {$_.AccountName -eq 'domain\Prod_Svc_RLoader' }) } 

我不熟悉Quest AD cmdlet，但希望你看看我們在這裏嘗試做什麼。基本上，我們「不注意」那些做的用戶在他們的DACL中有Prod_Svc_RLoader的ACE。