有时候,IT管理员可能会想清除某些服务器/计算机内置管理员组里面的一些已失效的用户,这些用户可能曾经被加入管理员组,但是由于离职或是其他原因,账号已从AD注销,而在这些用户组内,他们的SID信息却得以保留,就像是这样:
像图中的最后两个用户,S-1-5-21-1004336348-1220945662-1801674531-10174 和 6866,就是由于信息从AD获取不到,而显示为SID的。如何批量从服务器抓这样的SID用户出来呢?我们可以使用 PowerShell 脚本。
以下就是一个代码示例,我将其做成了一个函数 QueryNonExistentUsers, 大家可以用在很多实际的工作之中,而且稍加修改,可以完成多种多样的任务:
1 #Query Non-existent Users PowerShell Script Function by Eric Sheh 2 #Version 1.2 Build 20120626 3 4 Function QueryNonExistentUsers 5 { 6 Param 7 ( 8 [Parameter(Mandatory=$true,Position=0)][String]$Server, 9 [Parameter(Mandatory=$true,Position=1)][String]$UserGroup, 10 [Parameter(Mandatory=$false,Position=2)][Bool]$CountInstead = $False 11 # Example: QueryNonExistentUsers "hostname" "Administrators" $True OR QueryNonExistentUsers -Server "hostname" -UserGroup "Administrators" -CountInstead $True 12 # OR QueryNonExistentUsers "hostname" "Administrators" OR QueryNonExistentUsers -Server "hostname" -UserGroup "Administrators" 13 ) 14 Begin 15 { 16 $members=@() 17 } 18 Process 19 { 20 [adsi]$computer = "WinNT://" + $Server 21 $group = $computer.psbase.children | ?{$_.psbase.schemaclassname -eq 'group'} | ?{$_.Path -match $UserGroup} 22 23 foreach ($user in $group.Members()) 24 { 25 $usr_obj = New-Object PSObject 26 $usr_obj | Add-Member -MemberType NoteProperty -Name 'aDSPath' -Value $user.GetType().InvokeMember('aDSPath', 'GetProperty', $null, $user, $null) 27 $usr_obj | Add-Member -MemberType NoteProperty -Name 'Name' -Value $user.GetType().InvokeMember('Name', 'GetProperty', $null, $user, $null) 28 $path = $usr_obj.aDSPath.split('/') 29 30 if ($path.Count -eq 4) 31 { 32 $usr_obj | Add-Member -MemberType NoteProperty -Name 'Domain' -Value $path[2] 33 } 34 elseif ($path.Count -eq 5) 35 { 36 $usr_obj | Add-Member -MemberType NoteProperty -Name 'Domain' -Value $path[3] 37 } 38 else 39 { 40 $usr_obj | Add-Member -MemberType NoteProperty -Name 'Domain' -Value 'Unknown' 41 } 42 $members += $usr_obj 43 } 44 45 $members = @($members | Sort-Object -Property Domain, Name) 46 $members = $members | Where-Object {$_.Domain -eq "Unknown"} 47 } 48 End 49 { 50 If ($CountInstead) 51 { 52 return $members.count 53 } 54 else 55 { 56 return $members 57 } 58 } 59 }
我们可以写两行code来调用这个函数进行测试(例如连接到 TestServer,查询其上的内建 Administrators 组里面有没有无效用户):
1 #Test: 2 $Result = QueryNonExistentUsers "TestServer" "Administrators" 3 Write-Output $Result
可以看见执行结果与上面的第一张 UI 查询结果图是一致的:
最后我解释一下几个要点:
1. 使用 ADSI 比使用 WMI 的运行效率高;
2. 使用 ADSI 时,操作本地对象用"WinNT://",而操作AD对象,请使用"LDAP://";
3. 获得代码中定义的 $user 对象后,为何要用"/"符号分段呢?有时怎么确定 Domain 的呢?其实是利用了 Members 对象里 aDSPath 属性值的一些特性的:
例如对于本地用户,aDSPath 的值是这样:
即"WinNT://DomainName/HostName/LocalUserName"的形式,所以依"/"拆分后,形成了一个一维数组,共有5个元素,其中第二元素为空。因此要取第四个元素"HostName"作为该账户的"域"(因为这是个本地账户)。
而对于域账户,aDSPath 的值是这样的:
即"WinNT://DomainName/DomainUserName"的形式。因此拆分后形成一维数组只有四个元素,因此要取第三个元素作为该账户的域名称。
而对于已失效的用户,结果是这样的:
所以我们人为处理他的 Domain 值为"Unknown"并写入结果中。
对了,这个函数的参数和使用方法在以上的代码中其实已有说明,这里再单独列举一下:
QueryNonExistentUsers "hostname" "groupname" $true/$false
第一个参数 hostname 自然是你要查询的那台机器的名称了,第二个参数是你要查询的用户组,而第三个参数可以省略,默认是为 $false 的,返回具体的组内全部用户,而如果你指定为 $true, 那么返回的只是一个计数值。例如上面的例子中,如果执行"$Result = QueryNonExistentUsers "TestServer" "Administrators" $true",那么返回结果是数字2.
如果您要得到返回的完整组内用户列表,请将代码中的"$members = $members | Where-Object {$_.Domain -eq "Unknown"}"去掉(在第46行),这里有这一句就是为了在结果中筛出失效账户。
