Sie können die gesuchten Informationen nicht direkt aus der IdentityReference abrufen. Wenn Sie jedoch etwas Logik darauf werfen (nicht anders als die Richtung, in die Sie die SID-Konten bereits gefiltert haben), können Sie sie auf AD-Objekte beschränken.
(Get-Acl -Path $Folder.FullName | ForEach-Object { [string]$Identity = $_.IdentityReference if ($Identity -like '*\*' -and $Identity -notlike 'BUILTIN*' -and $Identity -notlike 'NT AUTHORITY*') { $SamAccountName = $Indentity.Split('\')[1] $ADObject = Get-ADObject -Filter ('SamAccountName -eq ""' -f $SamAccountName) if ($ADObject.ObjectClass -eq 'group') { $Identity } } } Der Hauptteil der Arbeit wird von dieser "if" -Anweisung erledigt. Durch das Testen auf einen umgekehrten Schrägstrich wird sichergestellt, dass das Objekt Teil einer Domäne ist (lokal oder AD oder anderweitig). Dann werden die lokalen Domänen, die ich bei meinen Tests gesehen habe, verworfen.
In meinem Fall war dies ausreichend, um sicherzustellen, dass ich immer AD-Objekte erhielt, egal ob es sich um Benutzer oder Gruppen handelte, und danach ist es ziemlich einfach, das ADObject abzurufen und die Objektklasse zu testen.
Wenn Sie dies in einer Umgebung mit nur einer Domäne durchführen, können Sie die if -Anweisung so ändern, dass sie nur nach dieser sucht, wodurch die Anzahl der Testfälle reduziert wird, z.
if ($Identity -like 'test.domain.com\*)
Sie können dies auch weiter ausführen und das eigentliche ADGroup-Objekt usw. abrufen.