无法列出企业管理员的所有成员

Question

我相信我要疯了，但也许我错过了什么。我试图枚举企业管理员的所有成员。当我在DSA.MSC GUI工具中查看时，我看到这样的东西没有嵌套：

John
Bill
Jim
Sue
Mary
Spiderman

当我执行LDP.EXE、PowerShell或ADSIEDIT查询时，我只看到以下内容：

John
Bill
Sue
Mary

下面是我尝试找出这个增量的一些方法：

• 查看ADSIEDIT中的Enterprise并查看成员属性。没有列出蜘蛛侠
• 查看LDP.EXE中的Enterprise并查看成员属性。没有列出蜘蛛侠

运行以下PowerShell查询

Get-ADgroup 'enterprise admins' -properties members | 
    select -Expandproperties members
# No Spiderman listed

Get-ADuser spiderman -properties memberof | 
    select -Expandproperties memberof
# No Enterprise Admins listed

Get-ADObject (Get-ADuser spiderman) -properties memberof | 
    select -Expandproperties memberof
# No Enterprise Admins listed

Get-AdObject (Get-ADgroup 'enterprise admins') -properties member | 
    select -Expandproperties members
# No Spiderman listed

Get-ADGroupMembers 'Enterprise Admins'
# **Spiderman listed!!!!!!**

，我错过了什么！为什么蜘蛛侠会出现在ADUC/Get-AdGroupMembers中，而没有其他地方。我要疯了吗？

Answer 1

在primaryGroupID中，posix子系统指示帐户的主组由posix子系统使用。

通常，正如斯图尔特所说，永远没有理由更改primaryGroupID属性。(自Windows Server 2003以来)

primaryGroupID属性：用户是其主组的成员，尽管该组未在用户的memberOf属性中列出。同样，组对象的成员属性不会列出其primaryGroupID设置为组的用户对象。

Answer 2

因此，显然，如果我将主组ID切换到Enterprise，它会将其隐藏在传统查询中。一旦我切换回域用户，我就可以把查询拉回来。

我不知道它为什么要这么做。