Для рабочего процесса нашей доверенной корпорации мы установили несколько таких трастов AD-домена:
Один «главный домен» Active Directory со всеми пользователями AD: Dom-A.extra.com
Пять дополнительных Active Directory для разных корпораций (корпоративных доменов), для компьютеров и групп для файлового сервера и доступа к домену.
Dom-1.intra
Dom-2.intra
Dom-3.intra
Dom-4.intra
Dom-5.intra
Наше рабочее отображение «Пользователь <-> Группа»: пользователь (из основного домена) находится в группе безопасности локального домена (из корпоративного домена).
Для аудита моих пользователей и получения списка их разрешений мне нужно увидеть все группы для этого.
лайк:
user-1 (from master-domain..) has groupmembership:
Domain: Dom-A.extra.com
Group: all-chat
Group: all-pub
Group: all-vpn
Domain: Dom-1.intra
Group: filesrv_A
Domain: Dom-2.intra
Group: remote_B
Domain: Dom-3.intra
Group: filesrv_C
Во вкладке пользователя groupmembership Я могу видеть только локальные группы домена, но не удаленные группы из доверенных доменов.
Если я смотрю в доверенные группы домена, я вижу пользователей рекламы, но на самом деле это не похоже на аудит.
Я тестировал некоторые ps такие команды как get-adgroupmember, но все они фильтруют по пользователю (в доверенном домене нет пользователя) или показывают только локальные группы (на master-домене).
Какие-либо предложения?