标签: organizational-unit

我写了这个cmdlet：

Search-ADAccount -filter {(enabled -eq $true)} -Users Only -SearchBase "ou=FirstOU,dc=domain,dc=com" -AccountInactive -TimeSpan 30

但它输出一个错误：

Search-ADAccount : A parameter cannot be found that matches parameter name 'fil
ter'.
At line:1 char:25
+ Search-ADAccount -filter <<<<  {(enabled -eq $true)} -UsersOnly -SearchBase "
ou=FirstOU,dc=domain,dc=com" -AccountInactive -TimeSpan 30
    + CategoryInfo          : InvalidArgument: (:) [Search-ADAccount], Paramet
   erBindingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.ActiveDirectory
   .Management.Commands.SearchADAccountCmdlet

有人可以帮忙吗？

是否有任何 powershell 命令可以从特定组织单位 (OU) 输出密码过期的用户。

如果是这样，是否可以将它与另一个命令组合在脚本中，该命令输出特定 OU 中所有用户的到期时间？

谢谢你。

到目前为止，我刚刚将域中的所有用户和计算机都留在了域根目录中。

我一直在考虑如何更好地组织我的 AD，但我还没有看到使用 OU 的优势。

现在，我使用安全组组织所有内容，然后使用安全过滤应用 GPO。

如果我按 OU 组织所有内容，在我看来，它允许我做的就是删除一些 GPO 上的安全过滤。但它似乎也将使整体上弄清楚成员资格和继承变得更加复杂。

我在这里缺少什么？

我发现这两个线程似乎其他人同样对如何充分利用 OU 感到困惑：

构建 OU 以正确建模组织层次结构
将组策略应用于特定计算机（不在 OU 中）上的特定用户（在 OU 中）

目标：创建一个 for 或 foreach 循环来为 OU 中的每个用户执行一些代码（在本例中，只需打印 x）。我使用带有 ActiveDirectory 模块的 powershell 2.0。

到目前为止：这就是我所拥有的（见下文）。它只是为每个用户打印出 X。但它并没有像我想要的那样工作，相反，我认为它可能对每一行都这样做。所以我得到了 6 个 X，分别代表 'name'、'----'、'test1'、'test2'、SPACE、SPACE。

$pool = Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Test,OU=Users,OU=jack,DC=Corp,DC=jill,DC=com" -Properties name | FT name
foreach ($user in $pool )
{ write-host "x"}
$pool

结果，SPACE 将用句点 (.) 表示：

x
x
x
x
x
x


name                        
----                      
test1                  
test2
.
.

我不确定它为什么这样做。如果您有更好的方法或方法来处理这个问题，我会很高兴听到的。

我们的 AD 一团糟，我一直在寻找一种方法，可以根据计算机/工作站的 IP 地址自动将计算机/工作站分配给组织单位。但是，我没有找到有关如何执行此操作的任何信息的运气。

有没有办法做到这一点？如果是这样，如何根据计算机的 IP 将计算机分配给 OU？

我知道如何限制单个用户访问/读取 Active Directory 中的 OU 或文件夹。

此页面提供了有关如何执行此操作的良好指南。

但是，如何禁止整个 OU 及其子 OU 的用户访问特定文件夹？安全选项似乎只适用于个人用户和组...

我目前正在尝试为新的 AD 部署设计 OU 和组设计。首先，分类学很难。作为第一个猜测尝试，我们试图将所有 User 对象放在一起OU=Users，并在其下放置一些子 OU。

我们有一堆团队和子团队 OU，以及一些工具集 OU，它们按人员所在的职能团队以及他们需要访问的工具进行分组。

我们希望将用户保留在用户 OU 中，每个团队 OU 都包含一个安全组对象，当他们加入团队或需要工具集访问权限时，我们可以将用户添加到该对象中。

以下是 AD 的布局方式：

Domain Root
|
|
\--OU=Users
|   |
|   \--OU=Staff
|   |   \-Username=Tom.OConnor, MemberOf=RedTeam
|   |
|   \--OU=Contractors
|   |
|   \--OU=Visitors
|
|
\--OU=Teams
|   |
|   \--OU=RedTeam
|   |   \-GroupName=RedTeam
|   |
|   \--OU=BlueTeam
|   |   \-GroupName=BlueTeam
|   |
|   |
|   \--OU=GreenTeam
|   |   \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
|   |
|   \--OU=DevTools
|   |   \-GroupName=DevTool_CITool
| …

我可以将安全组放在 OU 中吗？

如果我将特定用户放入 OU，则应用于 OU 的 GPO 工作正常。如果我将安全组（包含用户）放入 OU，则 GPO 不起作用。

如果我不能（正如我所相信的那样），如何将大量用户添加到 OU 中？

干杯!