Active Directory: доступ до групи з іншого домену лісу

Jul 5th 2010 by Stanislav Buldakov | No Comments »

Користувача AD можна додавати в групи іншого домену (доменні локальні або універсальні), який знаходиться в тому ж лісі, що і домен користувача. Правда, MS радить в такій ситуації використовувати глобальну групу, яка знаходиться в тому ж домені що і користувач; користувача додавати в неї, а саму групу додавати в групу з іншого домену. Якщо ж не прислухатися до такої поради, то виникає кумедна колізія - у властивостях користувача на закладці Member Of група з іншого домену не відображається, хоча на закладці Members групи іншого домену користувач є! Цьому навіть присвячена одна зі статей на сайті підтримки MS.

Як же подивитися повний список груп користувача? У вищезгаданій статті пропонується використовувати утиліту showgrps.exe зі складу ресурскіта для Windows 2000 Server. А що робити якщо такого ресурскіта немає і на дворі 2010 рік? Мабуть використовувати PoSh. У мене для цих цілей вийшов такий ось трохи корявий скрипт:

$ EntAdminCred = Get-Credential $ User = Get-QADUser domainuser -DontUseDefaultIncludedProperties Connect-QADService -Service FQDN.domain.controller1 -Credential $ EntAdminCred Get-QADGroup -ContainsIndirectMember $ User.DN -DontUseDefaultIncludedProperties | Select-Object NTAccountname Disconnect-QADService Connect-QADService -Service FQDN.domain.controller2 -Credential $ EntAdminCred Get-QADGroup -ContainsIndirectMember $ User.DN -DontUseDefaultIncludedProperties | Select-Object NTAccountname Disconnect-QADService

Блок connect / disconnect використовувати стільки разів - скільки доменів в лісі. $ EntAdminCred - логін / пароль адміністратора, який має доступ до облікових записів всіх доменів.