get-adgroup -filter "SID -like '*-512'“

Question

我一直想弄清楚如何使用-filter来得到我想要的东西。我尝试做的是使用以下内容通过SID属性的*-512的-like语句来查找Domain Admins组：

get-adgroup -filter "SID -like '*-512'"

如果我将实际的SID

get-adgroup -filter "SID -eq 'S-1-5-21domain-512'"

我知道这样做会行得通

get-adgroup -filter * | ? {$_.SID -like '*-512'}

https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems

Answer 1

作为BenH comments，您不能在LDAP查询中部分筛选SID，因为目录中有the way SID values are stored。您看到的SID字符串是底层字节数组的SDDL表示形式。

我假设您尝试对一个众所周知的RID进行通配符匹配的动机是您事先不知道域SID。您可以使用Get-ADDomain cmdlet轻松获得：

$DomainSID = (Get-ADDomain).DomainSID
$DomainAdminsSid = New-Object System.Security.Principal.SecurityIdentifier ([System.Security.Principal.WellKnownSidType]::AccountDomainAdminsSid,$DomainSID)

Get-ADGroup -Filter {SID -eq $DomainAdminsSid}