我在这里有点迷失,不知道要寻找什么才能取得一些进展。所以也许有人可以帮助我。
我正在现有的 Active Directory 中工作,其中包含现有的用户、计算机、GPO 以及工作基础架构所需的所有内容。我不确定我的问题是否出在这里。
现在我想运行以下 PowerShell 脚本来获取一些用户帐户,但是:
(Get-ADUser -LDAPFilter "((memberOf=CN=All,OU=Groups,DC=domain,DC=de))").Count
作为仅在某些服务器上具有管理员权限的用户,例如文件服务器并且没有其他权限,该脚本仅显示 600 个帐户。 如果我运行与域管理员完全相同的脚本,我会得到正确的 11000 个帐户数量。
无论我在哪个服务器上运行脚本,结果都是相同的 - 即使在 DC 本身上也是如此。
我尝试将结果大小设置为 $null 但这不会改变任何东西。 非特权用户每次都会获得错误的帐户数量,而且每次都是相同的错误号码。
所以我的问题是:
有谁知道为什么吗?
有谁知道如何改变吗?
我的帐户需要哪些权限才能获得正确的号码,但没有域管理员权限?
即使你只知道一些关键字供我搜索,我也会很高兴...
因此,正如问题中提到的,@mikee 已经在评论中告诉我们,问题在于权限不当。
虽然我尝试了一些不同的权限,但我可以将其固定为读取组对象的所有属性的权限。我很确定,您不需要阅读所有内容,但在我们古老而混乱的广告中,找出哪些是不必要的是很痛苦的。
如原始解决方案此处,您必须右键单击您的域(或应授予权限的 OU)并选择“属性”。在“安全”选项卡中,打开高级窗口并添加新条目。
您必须首先选择哪个用户或组获得此权限。 然后您需要将其应用于对对象进行分组。向下滚动一点,选中有权读取所有属性的复选框(或者如果您更清楚需要哪些属性,请单独选择它们)。
更改生效可能需要一些时间 - 即使在您进行更改的 DC 上也是如此。