无法使用get-adgroupmember成员-recursive检索跨域用户

Question

我的任务是提供来自多个AD组的AD组成员的列表，并将其导出到.csv。如果任何相关的AD组甚至有一个跨域用户，我的脚本就会失败。

Get-ADGroupMember : An operations error occurred
At C:\users\user1\desktop\ps2.ps1:5 char:1
Get-ADGroupMember -recursive $group | ForEach-Object {
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (Amazing-ADGroup:ADGroup) [Get-ADGroupMember], AD
   Exception
    + FullyQualifiedErrorId : ActiveDirectoryServer:8224,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember

然后，我的脚本导出我需要的所有AD组，但不填充属于不同域的用户。

该广告的内容如下：

Parent-Domain
Sub-Domain1 -> has all the AD Groups I am querying
Sub-Domain2
Sub-Domain3
Sub-Domain4

我已经尝试了所有我能从其他人那里得到的问题，但无法使它为我的情况。

$Groups = Get-ADGroup -Filter * -SearchBase 'OU=,OU=,OU=,DC=,DC=,DC='
$Groups | ForEach-Object {
$group = $_.Name
$members = $null
    Get-ADGroupMember -recursive $group | ForEach-Object {
        If($members) {
              $members=$members + ";" + $_.Name
           } Else {
              $members=$_.Name
           }
  }
New-Object -TypeName PSObject -Property @{
      GroupName = $group
      Members = $members
     }
} | Export-CSV "C:\temp\AD-Group-Members.csv" -NoTypeInformation -Encoding UTF8

Answer 1

我认为这不是powershell脚本中的问题，而是组的范围问题。组范围必须是“通用的”，才能从其他域获得成员。

您还可以尝试查询域控制器也激活了全局目录的全局catalog.If，您可以使用"Server“参数查询它。全局gatalog通常监听端口3268。

Get-ADGroupMember -Identity $group -Recursive -Server domaincontroller.domain.com:3268