Problem with -ShowMemberTimeToLive parameters

Pour obtenir les membres temporaires d'un groupe, vous pouvez utiliser la CMDlet :

Get-ADGroup "MonGroupe" -Property member –ShowMemberTimeToLive

Cependant, cette CMDlet présente un problème : si ton groupe dépasse les1500 membres, la commande devient inefficace, car elle ne renvoie l'attribut TTL que pour les 1500 premiers membres.Par conséquent, pour les objets au-delà des 1500 premiers, tu n'auras pas la valeur TTL-XX, suggérant à tort qu'ils sont permanents alors qu'ils pourraient être temporaires.

Solution de contournement

Avec un browser LDAP

Avec un browser LDAP, tu n'auras pas le problème de la limite de 1500.

Mais si tu utilises un browser LDAP tel qu'Apache Directory Studio ou AD Explorer, tu ne verras les TTL par défaut : tu dois ajouter le contrôle LDAP LDAP_SERVER_LINK_TTL (OID 1.2.840.113556.1.4.2309).
Cela permet d'afficher toutes les valeurs de TTL.

With PowerShell

Tu peux également utiliser mon script qui recherche dans AD tous les groupes AD avec des membres dynamiques et génère une liste comprenant les membres et leur TTL.

Ce script prend en compte la problématique des groupes supérieurs à 1500 membres car il utilise LDAP_SERVER_LINK_TTL.

Tu peux le trouver sur mon GitHub avec le lien ci-dessous :