Я часто використовую net userкоманду, щоб переглянути користувальницькі групи AD:
net user /DOMAIN <username>
Це працює добре, однак назви груп усічені приблизно до 20 символів. І в моїй організації більшість імен груп набагато довші за це.
Хтось знає про спосіб отримати нескорочені групи AD за допомогою командного рядка?
Відповіді:
Ви можете проаналізувати вихідні дані команди GPRESULT.
GPRESULTє правильною командою, але її неможливо запустити без параметрів. /vабо багатослівний варіант важко управляти, не виводячи в текстовий файл. Я рекомендую використовувати
gpresult /user myAccount /v > C:\dev\me.txt- Переконайтеся, що C: \ Dev \ me.txt існує
Іншим варіантом є відображення лише зведеної інформації, яка може бути повністю видно у вікні команд:
gpresult /user myAccount /r
Рахунки перераховані під заголовком:
The user is a part of the following security groups
---------------------------------------------------
findstrзамість того, щоб перенаправляти вихідні дані у файл, а потім шукати файл. Наприклад, gpresult /user myAccount /r | findstr mySearchString.
Трохи несвіжий пост, але я зрозумів, що за біса. Чи відповідає "whoami" вашим потребам?
Я щойно дізнався про це сьогодні (із того самого пошуку Google, який насправді привів мене сюди). Windows має інструмент whoami з XP (частина доповнення до набору інструментів) і вбудований з Vista.
whoami /groups
Список усіх груп AD для поточного користувача, який ввійшов до системи. Я вважаю, що це вимагає від вас входу в систему як цього користувача, однак, це не допоможе, якщо у вашому випадку використання потрібна можливість запуску команди для перегляду іншого користувача.
Тільки назви груп:
whoami /groups /fo list |findstr /c:"Group Name:"
WhoAmIсвоє ім’я користувача дуже довго, лише сьогодні усвідомлюючи, що з ним можна зробити набагато більше! Дякую.
for /f "tokens=1 delims=," %g in ('whoami /groups /fo csv /nh') do @echo "%~g"(примітка: використовувати %%замість %у командному файлі)
Або ви можете використовувати dsquery і dsget :
dsquery user domainroot -name <userName> | dsget user -memberof
Щоб отримати членство в групі приблизно так:
Tue 09/10/2013 13:17:41.65
C:\
>dsquery user domainroot -name jqpublic | dsget user -memberof
"CN=Technical Support Staff,OU=Acme,OU=Applications,DC=YourCompany,DC=com"
"CN=Technical Support Staff,OU=Contosa,OU=Applications,DC=YourCompany,DC=com"
"CN=Regional Administrators,OU=Workstation,DC=YourCompany,DC=com"
Хоча я не можу знайти жодних доказів того, що я коли-небудь встановлював цей пакет на своєму комп’ютері, можливо, вам доведеться встановити Засоби віддаленого адміністрування сервера для Windows 7 .
Набагато простіший спосіб у PowerShell:
Get-ADPrincipalGroupMembership <username>
Вимога: обліковий запис, під яким ви самі працюєте, повинен бути членом того самого домену, що і цільовий користувач, якщо ви не вказали -Credentialта -Server(не перевірено).
Крім того, у вас повинен бути встановлений модуль Active Directory Powershell, який, як каже @ dave-lucre у коментарі до іншої відповіді, не завжди є варіантом.
Лише для назв груп спробуйте одне з таких:
(Get-ADPrincipalGroupMembership <username>).Name
Get-ADPrincipalGroupMembership <username> |Select Name
From Reviewпосилання в кінці його коментаря? Він не коментував прийняту відповідь, оскільки не натрапив на неї під час огляду.
На основі відповіді P.Brian.Mackey - я намагався використовувати gpresult /user <UserName> /rкоманду, але, здавалося, це спрацювало лише для мого облікового запису користувача; для інших користувачів рахунків Я отримав цей результат: The user "userNameHere" does not have RSOP data.
Тож я прочитав цей блог - https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html - і знайшов рішення. Ви повинні знати ім’я комп’ютера користувачів:
gpresult /s <UserComputer> /r /user:<UserName>
Після запуску команди вам доведеться ENTERкілька разів виконати програму, оскільки вона зупиниться в середині виходу. Крім того, результати дали купу даних, включаючи розділ для " COMPUTER SETTINGS> Applied Group Policy Objects", а потім " COMPUTER SETTINGS> Security groups" і, нарешті, " USER SETTINGS> security groups" (це те, що ми шукаємо для груп AD, перерахованих з не усіченими описами!)
Цікаво відзначити, що у GPRESULT було кілька зайвих членів, яких не було в команді NET USER. Крім того, порядок сортування не відповідає і не є алфавітним. Будь-який орган, який може додати більше розуміння в коментарях, що було б чудово.
РЕЗУЛЬТАТИ: gpresult (with ComputerName, UserName)
З міркувань безпеки я включив лише підмножину результатів членства. (36 ВСЬОГО, 12 ЗРАЗОК)
The user is a part of the following security groups
---------------------------------------------------
..
Internet Email
GEVStandardPSMViewers
GcoFieldServicesEditors
AnimalWelfare_Readers
Business Objects
Zscaler_Standard_Access
..
GCM
..
GcmSharesEditors
GHVStandardPSMViewers
IntranetReportsViewers
JetDWUsers -- (NOTE: this one was deleted today, the other "Jet" one was added)
..
Time and Attendance Users
..
РЕЗУЛЬТАТИ: net user /DOMAIN (with UserName)
З міркувань безпеки я включив лише підмножину результатів членства. (23 ВСЬОГО, 12 ЗРАЗОК)
Local Group Memberships
Global Group memberships ...
*Internet Email *GEVStandardPSMViewers
*GcoFieldServicesEdito*AnimalWelfare_Readers
*Business Objects *Zscaler_Standard_Acce
...
*Time and Attendance U*GCM
...
*GcmSharesEditors *GHVStandardPSMViewers
*IntranetReportsViewer*JetPowerUsers
The command completed successfully.
whoami /groupsтакож хороша. Але в ньому перелічуються лише групи користувачів, які наразі зареєстровані. Уособлення та витончене програмування можуть це обійти;)