受信任林的架构详细信息

Question

我正试图导出受信任林的AD架构详细信息。我无法访问受信任林的域计算机。我没有一个可信森林的账户。

我使用下面的命令提取我自己森林的属性。

$schema = Get-ADObject -SearchBase ((Get-ADRootDSE).schemaNamingContext) `
-SearchScope OneLevel -Filter * -Property objectClass, name, whenChanged,`
whenCreated,description,attributeID, isDefunct | Select-Object objectClass, name, whenCreated, whenChanged, isDefunct, `
@{name="event";expression={($_.whenCreated).Date.ToShortDateString()}} | `
Sort-Object whenCreated

但是，当我提供受信任域的架构分区上下文时，Get-ADObject无法工作。它会产生这样的错误。

Get:提供的distinguishedName必须属于以下分区之一(S).列出我当前林的模式、配置、域分区。

我尝试使用目录服务方法。但是，这并没有提供诸如修改这样的详细信息，这是我们理解目录中模式更改的时间线所必需的。Any one可以为我们提供一种全面的方法来查询受信任森林的架构??

$Forest = new-object System.DirectoryServices.ActiveDirectory.DirectoryContext("Forest", $ForestFQDN)
$Schema = [System.DirectoryServices.ActiveDirectory.ActiveDirectorySchema]::GetSchema($Forest
$AllProperties = $Schema.FindAllProperties()

Answer 1

信息是双向信任将是有帮助的，因为权限问题是第一件事出现在脑海中。

使用[System.DirectoryServices]查询，您将列出模式中列出的属性，而不是Schema对象属性。你做得太过火了。

$Forest = new-object System.DirectoryServices.ActiveDirectory.DirectoryContext("Forest", "$forestFQDN") 
$Schema = [System.DirectoryServices.ActiveDirectory.ActiveDirectorySchema]::GetSchema($Forest)
$s = $Schema.GetDirectoryEntry()
$s | fl whencreated,whenchanged

whenCreated : {2002-02-06 11:40:41}
whenchanged : {2021-05-17 21:10:06}

当然，如果$Schema.GetDirectoryEntry()方法失败，它可能仍然是一件棘手的事情。但是，如果您可以使用GetSchema定位对象，这是令人鼓舞的。

稍作调整的版本：

$Forest = new-object System.DirectoryServices.ActiveDirectory.DirectoryContext("Forest", "$forestFQDN")
$ForestObj = [System.DirectoryServices.ActiveDirectory.Forest]::GetForest()
$Schema = $ForestObj.Schema.GetDirectoryEntry()