Есть ли аналог для получения членства компьютера в группе AD без запуска поиска в AD? Мне нужно иметь возможность получить идентификаторы SID группы компьютеров, входящих в группу AD, даже если машина не имеет подключения к контроллеру домена, работающему под стандартной учетной записью пользователя.
По сути, ищем эквивалент этого, за исключением текущей учетной записи компьютера.
$groups = [System.Security.Principal.WindowsIdentity]::GetCurrent().Groups
Я придумал, как это сделать с помощью обратного проектирования gpresult. Для этого сначала в качестве администратора я предоставил обычным пользователям доступ к WMI пространству имен root\rsop\COMPUTER.
Я бы предпочел решение без необходимости делать это, но требует дальнейшего изучения.
Однократная настройка машины с помощью сценария Set-WmiNamespaceSecurity.ps1
Set-WmiNamespaceSecurity.ps1 root/rsop/COMPUTER add Users Enable
Теперь я могу получить группу компьютеров Active Directory SIDs с компьютера, как обычный пользователь, даже если он не подключен к сети с помощью следующей оболочки PowerShell:
(Get-WmiObject -Namespace "root\rsop\COMPUTER" -Class RSOP_Session -Property SecurityGroups).SecurityGroups
