Экспорт пользователей ad, не состоящих в группе

Question

[ChesterLife]

Вот скрипт, который выгружает всех пользователей ad, которые состоят в группе «zapret_usb»:

Import-module ActiveDirectory
Get-ADGroupMember -Identity zapret_USB -Recursive |
Get-ADObject -Properties name, title, department, company |
Format-Table name, title, department, company -autosize |
Out-String -Width 4096 > c:\export.csv
$host.UI.RawUI.ReadKey(«NoEcho,IncludeKeyDown») | out-null

Есть ли способ выгрузить всех пользователей ad, которые НЕ состоят в группе «zapret_usb»?

Answer 1

[greeensnake]

На днях озаботился похожим вопросом, в первом приближении надумал такое решение:
$allusers = Get-ADuser filter *
$vipusers = Get-ADGroupMember -Identity <какая то группа> -Recursive
Compare-Object $allusers $vipusers

Comments

[greeensnake]

Это уже второе приближение:
Get-ADObject -LDAPFilter "(&(objectCategory=person)(objectClass=user)(!(memberOf=cn=Test,ou=test,dc=test,dc=loc)))"

Answer 2

[Николай Турнавиотов]

я бы сделал реверсно:
1. группа «запрет USB»
2. Если запрет на использование USB — накатываем политику отключения USB host устройств в винде, не приходится лезть в биос, при перелогине админом устройства usb можно включить

Answer 3

[Ярослав Еремин]

$a = Get-ADGroupMember zapret_USB
$b = get-aduser -Filter *
ForEach ($i in $a) {
$b = $b | Where-Object { -not($_.SamAccountName -eq $i.SamAccountName) }
}