获取不在父组中的所有AD用户

您可以使用所谓的LDAP_MATCHING_RULE_IN_CHAIN运算符来运行单个LDAP查询。 该运算符的数字OID是1.2.840.113556.1.4.1941 。 通过在属性和要search的值(attribute:OID:=DN)之间放置数字OID，您可以在LDAPsearch中请求这种types的选项。 您可以像这样使用PowerShell cmdLet运行LDAP查询：

 get-adobject -ldapfilter "(&(objectcategory=person)(objectclass=user)(!memberof:1.2.840.113556.1.4.1941:=CN=some,CN=group,DC=yourco,DC=com))" 

此查询还使用not（！）运算符，因为您正在查找不是该组的嵌套成员的用户。 您也可以通过select“自定义search”和“高级”选项卡，通过ADUC / DSA运行LDAP查询。

两篇关于LDAPsearch语法的MS文章以及一些其他的细节使得这成为可能：

• https://support.microsoft.com/en-us/help/914828/a-hotfix-is-available-that-improves-the-performance-of-programs-that-q
• https://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx