Як я можу дізнатися, до яких груп оголошень я входив?


231

Я працюю на робочому столі Windows XP у корпоративному середовищі. Як я можу дізнатися, до яких груп AD належу?


4
Ну, це з точки зору клієнт / робочий стіл. Було б досить легко зрозуміти, чи мав би я доступ до AD.
chris

@chirs, можливо, уточніть у своєму запитанні, що ви маєте на увазі з точки зору клієнта в домені Windows.
важкий

Відповіді:


237

Спробуйте запустити gpresult /Rдля підсумків RSoP або gpresult /Vдля багатослівного виведення з командного рядка як адміністратор на комп’ютері. Він повинен вивести щось подібне:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

Або якщо ви ввійшли в ОС Windows Server за допомогою модуля ActiveDirectory PowerShell (або клієнтської ОС за допомогою інструментів віддаленого адміністрування сервера), спробуйте Get-ADPrincipalGroupMembershipкомандлет:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales

34
З причин, що, ймовірно, пов’язані з конфігурацією мережі мого клієнта, коли я використовував / v, я отримав гігантську стінку тексту зі списком груп, похованим десь усередині. Мені було набагато більше удачі gpresult /r.
Джейк

15
Трохи наступного молотка, щоб зламати горіх. WHOAMI - це шлях вперед, або NET USER <user> / домен, хоча це скорочує групи з довгими іменами.
Саймон Кетлін

2
Мені довелося користуватися gpresult /r. NET USERвідображаються лише перші 3 - 5 групи.
eddiegroves

Я читаю це питання кожного разу, коли отримую нову роботу. Цього разу це сприяє!
Робіно

179

Використовуйте

whoami /groups

Це має бути не лише переліком груп безпеки, а й групами розповсюдження, якщо я пам'ятаю правильно (і що також може бути корисно знати). Також піклується про гніздування, тобто ви перебуваєте в групі А, яка перебуває в B, тому вона показує вас як і в B (я знову намагаюся згадати тут деталі).

В Vista та Win7, для XP, ймовірно, вам потрібні інструменти підтримки sp2 (що також вимагатиме, щоб у вас було достатньо привілей, щоб встановити їх). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en


Також у whoami / groups є кращий випадок, коли ви отримуєте неправильну інформацію. Див stackoverflow.com/questions/4051883 / ...
zumalifeguard

43

Я думаю, ви можете написати у вікні cmd:

net user USERNAME /domain

Замініть USERNAMEвласним іменем користувача, без префіксу домену.


2
Чудовий; це допомагає мені не тільки бачити те, що я маю, але і те, що мають інші, що корисно, коли мені потрібно зрозуміти, чому інші користувачі не мають до чогось доступу. Відмінна робота!
Question3CPO

Однозначно подамо цю подальше на майбутнє - також перенесемося до повноважень.
обідне м’ясо317

Просто коментар, щоб сказати спасибі, це набагато простіше, ніж увійти на сервер, щоб перевірити групи, ще якусь корисну інформацію.
Адам Демпсі

16

Початок - Запуск - CMD - достатньо GPRESULT / r -> вам не потрібно відображати повне "/ v" для візуалізації групових речей як клієнта-користувача, що стосується AD (під Windows 7 напевно, але я я не впевнений у winxp)


9

Якщо у вас немає доступу до AD:

Початок - Запуск - CMD - GPRESULT / v

Ви побачите наприкінці: Користувач входить до наступних груп безпеки


6

Якщо ви шукаєте швидкості, то gpresult - це ш w ... особливо, якщо застосовано багато GPO.

Просто запустіть одне з наступних: одне - для локальної групи, а інше - для доменних груп: -

Місцевий - 'c: \ windows \ system32 \ net.exe localgroup' + 'назва групи для перевірки'

Домен - 'c: \ windows \ system32 \ net.exe група / домен' + 'назва групи для перевірки'

Потім проаналізуйте вихід для потрібного користувача, оскільки результат відобразить список користувачів у цій групі. Сподіваюся, це допомагає.


2

Маючи повну належність до відповіді Грега Брея ... якщо результат перевищує розмір екрана і вам потрібно побачити ВСЕ, скористайтеся зручною командою переадресації (труби) : " >", щоб записати результати у файл.

Так це стане щось подібне:

C:\Windows\system32>gpresult /V >c:\group_details.txt

2
Законний коментар ... який слід додати як коментар до відповіді, на яку ви даруєте кредит. Це не є кваліфікованою відповіддю.
SturdyErde
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.