Отримати список груп оголошень, користувачем яких є користувач

Припустимо, я маю ідентифікатор користувача в Active Directory. Я хотів би отримати список усіх груп AD, до яких цей користувач зараз входить. Як це зробити з командного рядка Windows?

Я спробував таке:

dsget user "DC=jxd123" -memberof

Помилка:

dsquery failed:'-memberof' is an unknown parameter.
type dsquery /? for help.

Це можна зробити в PowerShell досить легко. Я впевнений, що ви можете це зробити і з інструментами ds, але вони старі і короткі, і PowerShell слід використовувати для всього можливого в наш час.

Import-Module ActiveDirectory
(Get-ADUser userName –Properties MemberOf | Select-Object MemberOf).MemberOf

Коротша версія

(Get-ADUser userName –Properties MemberOf).MemberOf

Або за допомогою чистої команди користувача ...

net user /domain username

Один рядок, не потрібні модулі, використовує поточний зареєстрований користувач $ ($ env: ім'я користувача), працює з інших машин Windows:

(New-Object System.DirectoryServices.DirectorySearcher("(&(objectCategory=User)(samAccountName=$($env:username)))")).FindOne().GetDirectoryEntry().memberOf

Qudos до цієї статті vbs / powershell: http://technet.microsoft.com/en-us/library/ff730963.aspx

Знайшов хороший ресурс:

http://social.technet.microsoft.com/wiki/contents/articles/2195.active-directory-dsquery-commands.aspx

Ось як це зробити з командного рядка Windows:

dsquery user -samid jxd123 | dsget user -memberof | dsget group -samid

PowerShell:

Get-ADPrincipalGroupMembership -Identity jdoe | Format-Table -Property name

Якщо вам потрібно переглянути власні групи, є whoami /groups:

Відображає групи користувачів, до яких належить поточний користувач.

Перевага цієї команди в net user /domain usernameтому, що неявні членські групи також відображаються за допомогою whoami.

Інший підхід: сценарій PowerShell, який перераховує всі неявні членські групи з маркера облікового запису Windows. Працює на обмеженій системі.

$token = [System.Security.Principal.WindowsIdentity]::GetCurrent() 
ForEach($group in $token.Groups){
    $group.Translate([System.Security.Principal.NTAccount])
}

dsquery user -samid "user id" | dsget user -memberof > userid_memberof.txt

$ADUser = Read-Host "Provide the AD User account"
Get-ADPrincipalGroupMembership -Identity $ADUser | Sort-Object name | Format-Table -Expand name

adfind - ще один чудовий інструмент для подібних речей. Це безкоштовний інструмент від MVP Joe Richards

http://www.joeware.net/freetools/tools/adfind/

Можна скористатися одним із недоліків

adfind -sc u:username memberof

Ця версія PowerShell повертає лише назви групи AD, а не DN групи. Вихід "select-object" може бути легко переданий в CSV або тестовий файл.

(Get-ADUser ExampleUser –Properties MemberOf).memberof | Get-ADGroup | Select-Object name

Powershell, дає хороший та чистий вихід.

(get-aduser USER -Properties MemberOf | select MemberOf).MemberOf | % {$_.split(",")[0].replace("CN=","")}

Ось рішення щодо пошуку всіх доменів у даному домені (при умові належного дозволу для кожного домену):

# provide the logon name here:
$user="alice"
$allGroups=@()

foreach ( $d in (Get-ADForest example.net).domains ) { Write-Output "Looking up $user in domain $d"; $allGroups += Get-ADPrincipalGroupMembership $user -ResourceContextServer $d }

$allGroups | ft name,GroupScope,distinguishedName -AutoSize

Використання Get-ADPrincipalGroupMembership

Спробуйте це:

gpresult -V /user blah