在 Active Directory 中查找嵌套组

在本指南中，我将向您展示如何查找嵌套组并获取嵌套组成员资格。

首先，我将向您展示如何使用 PowerShell 获取嵌套组成员身份。然后我将向您展示组成员报告工具，该工具可以搜索所有组、单个组、OU 中的所有组或 OU 中的所有用户。

• 方法 1：使用 PowerShell 获取嵌套组成员身份
• 方法 2：使用组成员资格报告工具获取嵌套组成员资格

方法 1：使用 PowerShell 查找嵌套组

使用 PowerShell 查找嵌套组的方法有多种。下面的示例是简单的一行 PowerShell 命令，用于获取嵌套组和组成员身份。

示例 1：获取组成员

该命令将简单地获取组的成员。在此示例中，我正在检查名为“pdrive_marketing”的组的成员

Get-ADGroupMember -Identity pdrive_marketing

您可以看到它返回了“pdrive_marketing”组的所有成员。问题是它同时返回用户和组成员。我只想要组成员（又名..嵌套组）。在示例 2 中，我将向您展示如何对其进行过滤以仅显示组。

示例 2：仅获取嵌套组成员资格

您可以添加过滤器，以便该命令将仅显示属于组的成员。群组类型由 objectClass 定义，因此您可以使用“where-object”cmdlet 创建过滤器，以仅显示属于群组的成员。

Get-ADGroupMember -Identity pdrive_marketing | where-object {$_.objectClass -eq 'group'}

现在它只显示属于一个组的成员，所有用户都已被过滤掉。

示例 3：获取嵌套组和组成员

至此，您已经学习了如何使用 Powershell 查找嵌套组。如果您想知道嵌套组的成员身份怎么办？

没问题。

您可以将结果传送到另一个命令“Get-ADGroupMember”，该命令将返回组的成员资格。

Get-ADGroupMember -Identity pdrive_marketing | ?{$_.ObjectClass -eq "Group"} | %{Write-Host $_.Name;Get-ADGroupMember $_ }

让我们分解一下这个命令的作用。

首先，它获取组“pdrive_marketing”的成员资格，然后仅过滤属于组（嵌套组）的对象，这将返回组“Marketing_local”。最后，Marketing_local 通过管道发送到显示组成员身份的“Get-ADGroupMember”命令。

PDrive_Marketing=父组
Marketing_local=子组（嵌套组）
显示的用户是 Marketing_local 组的成员。

示例 4：查找域中的所有嵌套组

前 3 个示例均显示单个组的嵌套组。但您可能希望获得多个组的嵌套组成员身份。要查找具有嵌套组的所有组，请使用此命令。

Get-ADGroup -filter * -Properties MemberOf | Where-Object {$_.MemberOf -ne $null} | Select-Object Name,MemberOf

您可以看到这将显示域中的所有嵌套组。例如，组“IT_Local”是组“PDrive_temp”的成员。您还可以看到组“Accounting_Local”是“PDrive_temp”组的成员。

上述 PowerShell 命令是用于查找嵌套组的简单一行命令。网上有很多用于查找嵌套组的脚本，其中一些脚本可能会变得非常复杂。

为了简化查找嵌套组的过程，我创建了组成员报告工具。请参阅下面的示例。

方法 2：使用组成员报告工具获取嵌套组

组成员报告工具是我创建的一个易于使用的 GUI 工具，用于简化查找嵌套组和组成员身份的过程。该工具可以显示父组、子组以及子组的成员。它还显示多个用户属性，例如电子邮件、部门、地址、电话、城市、州等等。

下载群组成员报告工具的免费试用版。

示例 1：获取所有嵌套 Active Directory 组

单击“工具”->“组报告”，选择整个域，然后单击“运行”。

这将为您提供所有用户和组的组成员身份报告。

要过滤列表以仅显示嵌套组，请单击 objectClass 列并选择组。

现在您将获得属于其他组成员的所有组的列表。

例如，您可以在下面的屏幕截图中看到“HR_local”组是“IT_local”组的成员。

对于其显示的每个成员，您可以选择包括多个用户/组属性。

用户名、名称、对象类、组、组类型、范围、描述、名字、姓氏、办公室、电话、街道地址、邮政信箱、城市、州、邮政编码、电子邮件、职位、部门、公司、经理、代理地址、初始、显示和主页。

要将嵌套组导出到 CSV 文件，请单击导出按钮。

示例 2：从组织单位获取所有嵌套组

如果要从 OU 获取嵌套组，请单击浏览按钮并选择 OU。

您将看到您的 Active Directory 树，只需选择您想要报告的 OU，然后单击“确定”。我正在选择我的 OU“ADPRO 组”，其中包含大约 30 个安全组。

返回主屏幕，单击运行。该工具现在将遍历 OU 中的所有组并显示其成员。根据您拥有的群组数量以及每个群组中有多少成员，可能需要一段时间才能完成。

完成后，您可以对列进行排序以对不同的对象类型进行分组。我喜欢按 ObjectClass 排序，这样我就可以看到所有子组和父组。

示例 4：获取所有组成员资格

要获取所有域组及其成员身份，只需选择“所有组”并单击运行。

关于 Active Directory Pro 工具包。

组成员报告工具是 Active Directory Pro Toolkit 中包含的十个工具之一。该工具包简化并自动化了许多日常 AD 任务。包括的工具：

• AD 上次登录报告
• 批量用户创建工具
• 集团管理和报告
• 广告清理工具
• AD用户导出
• 批量用户更新
• 批量群组管理
• 200+ 内置报告
• NTFS 权限报告器
• 用户解锁和帐户锁定故障排除工具

如果您有疑问，请在下面的评论部分发表。