Scroll Top

Admincount gesetzt, aber nicht mehr in einer administrativen Gruppe

Martin Handel

Im Rahmen eines PingCastle-Reports bei einem Kunden galt es zu ermitteln, welche User noch mit admincount=1 markiert sind, jedoch nicht mehr in einer geschützten Gruppe Mitglied.

PowerShell:

$admin = 'admincount'
$Adminuser = Get-ADUser -Filter { $admin -eq 1 }
$ProtGroups = Get-ADGroup -Filter { $admin -eq 1 }
foreach ($user in $($Adminuser.DistinguishedName))
{
$groups = (Get-ADObject -LDAPFilter "(member:1.2.840.113556.1.4.1941:=$user)").Name
if ($groups.count -ge 1)
{
$Compare = (Compare-Object -ReferenceObject $groups -DifferenceObject $ProtGroups.name -IncludeEqual -ExcludeDifferent).count
if ($Compare -lt 1)
{
Write-Host $user
}
}
}

Related Posts