Есть ли способ проверить членство компьютера в группе AD?

Это даст вам членство в группе (имена групп) локального компьютера (требуется powershell 2.0):

([adsisearcher]"(&(objectCategory=computer)(cn=$env:COMPUTERNAME))").FindOne().Properties.memberof -replace '^CN=([^,]+).+$','$1'

Извините, если я немного опоздал на вечеринку по этому поводу, но мне также нужно было найти членство в группе компьютера. После долгих проб и ошибок это сработало для меня.

Get-ADComputer "mycomp" -Properties MemberOf | %{if ($_.MemberOf -like "*group name*") {Write-Host "found"} }

Я заметил, что если сравнение строк находится на отдельной строке, мне нужно сделать следующее

$g=Get-ADGroupMember -Identity "CN=myADgroup,OU=myOU,DC=corp,DC=com" -server corp.com
foreach($mbr in $g) {if($name.MemberOf -like "*mycomp*" -eq $true) {Write-Host "found"}}

Не уверен, но мне кажется, что тестирование компьютера может быть быстрее и проще, чем тестирование группы, в зависимости от количества участников.

метод gpresult кажется единственным точным способом, который я могу найти. Запрос AD не точен, поскольку компьютер мог быть добавлен в группы, но не перезагружен. Я уверен, что кто-то мог бы сократить это, но это сработало достаточно хорошо для того, что мне нужно было увидеть.

# Get all active domain servers
$staledate = (Get-Date).AddDays(-90)
$computers = Get-ADComputer -Filter {(OperatingSystem -Like "*Server*") -and (Enabled -eq $True) -and (LastLogonDate -ge $staledate) -and (Modified -ge $staledate) -and (PasswordLastSet -ge $staledate) -and (whenChanged -ge $staledate) -and (Name -notlike "PHXVSSA101A")} | Select name -expandproperty name
$computers = $computers | Where {(Resolve-DNSName $_.name -ea 0) -and (Test-Connection -ComputerName $_.Name -Count 1 -ea 0)} | Sort
# Loop through all active domain servers
Foreach ($computer in $computers)
{
# Pull the gpresult for the current server
$Lines = gpresult /s $computer /v /SCOPE COMPUTER
# Initialize arrays
$cgroups = @()
$dgroups = @()
# Out equals false by default
$Out = $False
# Define start and end lines for the section we want
$start = "The computer is a part of the following security groups"
$end = "Resultant Set Of Policies for Computer"
# Loop through the gpresult output looking for the computer security group section
ForEach ($Line In $Lines)
{
If ($Line -match $start) {$Out = $True}
If ($Out -eq $True) {$cgroups += $Line}
If ($Line -match $end) {Break}
}
# Loop through all the gathered groups and check for Active Directory groups
ForEach ($group in $cgroups)
{
Try {
$check = Get-ADgroup $group -ErrorAction Stop
If ($check) {
$dgroups += $group
}
}
Catch {}
}
# Output server name and any Active Directory groups it is in
$computer
$dgroups
# End of computers loop
}

Вот запрос LDAP, чтобы определить, входит ли компьютер в группу рекурсивно:

(((objectClass=computer)(sAMAccountName=COMPUTERNAME$))(memberof:1.2.840.113556.1.4.1941:=DistinguishedNameOfGroup))

Дополнительная информация: http://justanotheritblog.co.uk/2016/01/27/recursively-check-if-a-usercomputer-is-a-member-of-an-ad-group-with-powershell-2-0/

попробуйте запустить gpresult /V и проверьте в разделе "ГРУППЫ безопасности"

Вы также можете попробовать gpresult /scope computer /v в командной строке (с правами администратора) для получения более конкретных результатов.

Попробуйте эту команду DOS, она вернет все локальные группы, к которым принадлежит этот компьютер:

net localgroup