Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/powershell/12.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
使用gMSA和Get-ADGroupMember的PowerShell脚本_Powershell_Active Directory_Gmsa - Fatal编程技术网
Fatal编程技术网
  • powershell/
  • 使用gMSA和Get-ADGroupMember的PowerShell脚本

使用gMSA和Get-ADGroupMember的PowerShell脚本

powershell active-directory

使用gMSA和Get-ADGroupMember的PowerShell脚本,powershell,active-directory,gmsa,Powershell,Active Directory,Gmsa,我们有一个PowerShell脚本,它将枚举指定广告组的成员,然后创建一个带有登录ID和名称的文本文件。该脚本将在创建电子邮件时发送给经理,通知他们管理该应用程序/服务的广告组的成员资格。我们遇到的问题如下: Get-ADGroupMember -Identity $ADGroupName -Recursive | Get-ADUser -Properties * | Select-Object employeeID, name | Sort-Object name | Out-

我们有一个PowerShell脚本,它将枚举指定广告组的成员,然后创建一个带有登录ID和名称的文本文件。该脚本将在创建电子邮件时发送给经理,通知他们管理该应用程序/服务的广告组的成员资格。我们遇到的问题如下:

Get-ADGroupMember -Identity $ADGroupName -Recursive |
    Get-ADUser -Properties * | Select-Object employeeID, name |
    Sort-Object name | Out-File -FilePath $Attachment
这将在用户运行脚本时使用请求的信息正确创建文件。问题是当我们试图通过使用gMSA的计划任务运行此脚本时。在gMSA下运行时,将创建一个零字节文件。将文件创建行更改为:

Get-Service | Out-File -FilePath $Attachment
按预期创建一个文件,因此问题似乎是
Get-ADGroupMember
。gMSA可以用来查询这样的广告吗

我们管理MSA/gMSA账户的内部团队通知我们一切都应正常工作。我们的安全组更喜欢通过MSA/gMSA运行需要某种类型的用户上下文的所有内容,因为密码管理不是问题。

管理gMSA/MSA帐户的组通过将gMSA放入域用户组来“修复”问题。看起来Get ADUser和Get ADgroup命令在域用户组中没有gMSA的情况下工作,但Get ADGroupMenber需要它。

管理gMSA/MSA帐户的组通过将gMSA放入域用户组中“修复”了该问题。在域用户组中,Get ADUser和Get ADgroup命令在没有gMSA的情况下似乎可以工作,但是Get ADGroupMenber需要它。

为什么您认为它只是Get AdGroupMember?您还尝试了哪些Get-AD*cmdlet。默认情况下,所有添加用户都具有添加的读取权限/权限。您为您的MSA/gMSA帐户设置了哪些访问/权限?您正在本地运行的Get Service用例,因此具有本地读取访问/权限。所以不是真正的苹果对苹果的比较,因为您没有通过电线连接到远程资源。Get-ADUser查找我的网络帐户会创建一个包含预期数据的文件,就像Get-ADgroup筛选到使用Get-ADGroupMember生成零字节文件的同一个AG组一样。不确定gMSA是否能够调用
Get-ADGroupMember
per-MSDN:standalone Managed Service Account(sMSA)是一个托管域帐户,提供自动密码管理、简化服务主体名称(SPN)管理以及将管理委托给其他管理员的功能。因此,您正在运行任务,所有Get-AD*功能都在工作,但组,您直接在DC上运行任务,而不是远程主机?这很奇怪,因为每个人都只是得到一个广告对象。根据经验,MSA/gMSA实际上是用于本地服务的,而不是通过线路到达远程资源。奇怪的是,如果你用ADSI的方法来做这件事,为什么你会相信只有Get-AdGroupMember?您还尝试了哪些Get-AD*cmdlet。默认情况下,所有添加用户都具有添加的读取权限/权限。您为您的MSA/gMSA帐户设置了哪些访问/权限?您正在本地运行的Get Service用例,因此具有本地读取访问/权限。所以不是真正的苹果对苹果的比较,因为您没有通过电线连接到远程资源。Get-ADUser查找我的网络帐户会创建一个包含预期数据的文件,就像Get-ADgroup筛选到使用Get-ADGroupMember生成零字节文件的同一个AG组一样。不确定gMSA是否能够调用
Get-ADGroupMember
per-MSDN:standalone Managed Service Account(sMSA)是一个托管域帐户,提供自动密码管理、简化服务主体名称(SPN)管理以及将管理委托给其他管理员的功能。因此,您正在运行任务,所有Get-AD*功能都在工作,但组,您直接在DC上运行任务,而不是远程主机?这很奇怪,因为每个人都只是得到一个广告对象。根据经验,MSA/gMSA实际上是用于本地服务的,而不是通过线路到达远程资源。奇怪的是,如果您使用ADSI方法进行此操作。