我需要获取特定组中的一个随机用户的姓名和 SamAccountname。
到目前为止,我已经让随机发生器按预期工作,但是当我尝试过滤 get-AdUser 时,我就解决了。
这就是我现在所拥有的:
$date = (Get-Date).AddDays(-14)
$randomUser = (Get-ADGroupMember GROUP) |Sort-Object{Get-random} | select -first 1 | Get-Aduser -Properties name,SamAccountName **#-filter {name -and SamaccountName -and LastLogonTimestamp -gt $date -and enabled -eq $true}**
一旦我取消注释粗体部分,它就停止工作。
任何想法和帮助将不胜感激。
我认为这是因为我无法过滤该输出,但我不知道如何做。 我使用lastlogontimestamp的原因是因为lastLogon没有被复制。
为了完成 Theo 的评论,您不能在此处使用
-FilterGet-ADGroupMember虽然将用户和计算机放入同一组中是一个非常糟糕的主意,但这是可能的(甚至其他组或 MSA/GMSA 等...)。因此,您需要两个过滤器,第一个过滤器仅让用户将其发送到
Get-ADUserlastLogonTimeStampToFileTimeUtc()ToFileTime()$date = (Get-Date).AddDays(-14).ToFileTimeUtc()
Get-ADGroupMember "My Group" | Where-Object ObjectClass -eq "user" |
Get-ADUser -Properties lastLogonTimeStamp |
Where-Object { $_.lastLogonTimestamp -gt $date -and $_.Enabled } | Get-Random
Get-Random-Count <Number>我建议过滤任何 enabled 用户,该用户是
memberOflastLogonTimeStamp$groupDn = (Get-ADGroup theTargetGroup).DistinguishedName
$targetDate = [datetime]::UtcNow.AddDays(-14).ToFileTime()
$filter = -join @(
"(&" # AND, all clauses must be met
"(!userAccountControl:1.2.840.113556.1.4.803:=2)" # Enabled only
"(!lastLogonTimeStamp<=$targetDate)" # `lastLogonTimeStamp` "lower than or equal to" when negated means "greater than"
"(memberOf=$groupDn)" # Object must be a `memberOf` the specified `distinguishedName`
")" # Closes AND
)
Get-ADUser -LDAPFilter $filter | Get-Random
值得注意的是,
lastLogonTimeStamplastLogon