特定のドメインのすべてのグループをループして、グループごとにメンバー数の検証を実行しようとしています。一部のグループがしきい値を超えた場合は、フラグを付けてレポートを作成します。
すべてのメンバーを取得してから検証を実行する必要があると思いますが、これに固執しています。たとえば、Get-QADGroupMemberはすべてのグループを調べることができますか、それとも特定のグループを入力する必要がありますか?
たとえば、特定のグループで試してみると、
$a = Get-QADGroupMember 'localcontoso.com\Administrators'
私は得ている、
Get-QADGroupMember : Cannot resolve directory object for the given identity: 'localcontoso.com\Administrators'.
どんなアドバイスでも大歓迎です。
同じドメイン マシンから AD をクエリする場合は、これを試してください。
$a = Get-QADGroupMember 'localcontoso.com/builtin/Administrators'
また
$a = Get-QADGroupMember Administrators
別のドメインからクエリを実行する場合:
$a = Get-QADGroupMember administrators -Service DomainControllerName -credential (get-credential)
注:-credential 必要ない場合があります
次のワンライナーを使用すると、グループ Identity の形式をいじる必要はありません。すべてのグループを取得し、しきい値メンバーをカウントし、メンバー数が $threshold で指定された値より大きいグループのみを出力します。
Get-QADGroup -SizeLimit 0 |
Where-Object { (Get-QADGroupMember $_ | Measure-Object).Count -gt $threshold }