Як перелічити користувачів та групи групи безпеки AD, якщо не адміністратор домену


59

Я в Windows 8, підключений до домену.

Я хочу переглянути користувачів та групи групи безпеки AD. Я не є власником групи. Команда:

net group /domain TheGroupName

показує прямих користувачів цієї групи, але не показує групи в межах групи.

Як альтернатива Windows 8, у мене також є віддалений доступ до Windows Server 2008 R2 і я адміністратор цієї машини, але не адміністратор домену. Програма "dsget", здається, не встановлена.

Це питання розширюється з цього питання (511715)


Якщо ви хочете кращої відповіді на вже існуюче запитання. Правильна процедура полягає в тому, щоб запропонувати виграш до цього існуючого питання.
Рамхаунд

1
На це питання відповіли як поетапно. Це нове, але дуже пов'язане питання.
crokusek

Що ви вважаєте, що ви повинні мати доступ для отримання списків користувачів і груп, якщо ви не адміністратор домену (або маєте відповідний конкретний дозвіл на свій обліковий запис домену)? Мені здалося б навпаки інтуїтивно зрозумілим.
CVn

Ця команда працює для мене зараз, і наскільки я знаю, я не адміністратор домену. Ти кажеш, що я повинен бути? Я також не думаю, що я є власником групи.
crokusek

1
Функція "Пошук активного каталогу" від "Мій комп'ютер -> Мережа" надасть вам доступ для перегляду груп та основної інформації про користувачів без спеціальних дозволів.
Абраксас

Відповіді:


76

Перейдіть до "Комп'ютер", натисніть "Мережа" у меню ліворуч, у верхній панелі виберіть "Пошук активного каталогу"

Ви повинні мати можливість шукати групи та переглядати членство тут, навіть якщо не адміністратор.

Доступ до "Пошук активного каталогу"


3
"Так легко адміністратор без домену може це зробити." Я не усвідомлював, що "Комп'ютер" означає провідник або Alt-Q "Мережа". Можна навіть подвійним клацанням натиснути, щоб вийти вниз. Дякую. Не знаєте, чому це не було відповіддю на пов'язане запитання, адже це лише для Windows 8?
crokusek

1
Цей діалог існує вічно. IIRC Windows 2000 також містить його.
Даніель Б

12
Еквівалент командного рядка (або Виконати):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow
Трипізований

2
Де еквівалент у Windows 10?
мерехтіння

2
@flickerfly у W10, просто натисніть на верхню частину вікна в мережі (Перегляд файлової мережі), і ви побачите річ "Пошук активного каталогу". здається, що "стрічка" (це те, що вона називається?) прихована за замовчуванням. Я додав ще одну відповідь більш простим способом викликати цю програму, і зараз у мене є зручний ярлик до цієї команди.
Разван Зойтану

31

Запустіть це з командного рядка, щоб отримати повне членство в групі AD (користувачів ТА груп). Тестовано на Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

Там є зручна вкладка Advanced, яка підтримує частковий пошук рядків (починаючи з, закінчуючи).


1
Працює і в Windows 7. Ура.
xhafan

Менше клацання, однакові результати +1
Рендольф

Відмінна відповідь, прямо до суті.
Амарнасан

1
Щоб зробити це більш доступним: Додати «Пуск» на лінії всмоктування, помістіть це userq.batв system32. Потім відкрийте діалогове вікно через Run-dialog (WINDOWS + R) та userq.
Панки

9

Sysinternals пропонує AD Explorer , утиліту для переліку всієї структури LDAP лісу AD. Однак це злегка надмірне значення для використання за призначенням.

Я не знаю, які саме права потрібні для запиту цих даних, але я думаю, що будь-який користувач, який увійшов, може це зробити. У мене ніколи не було проблем із запитом майже про все, але, можливо, домен у роботі не захищений належним чином.

Примітка про використання: Вам не потрібно вводити свої облікові дані, якщо ви ввійшли як користувач домену.

Однак вам потрібна IP-адреса або ім'я хоста контролера домену. Цілком ймовірно, що це те саме, що і ваш DNS-сервер, тому просто запустіть nslookupі спробуйте вказану там адресу.


2
Ви можете відкрити командний рядок і зробити "echo% LOGONSERVER%", щоб побачити сервер AD, комп'ютер, який використовується для автентифікації. Крім того, ви повинні мати можливість "nslookup my.domain.name", щоб перелічити всі сервери AD. Тож якщо ви увійдете за допомогою "mydomain \ myuser", спробуйте "nslookup mydomain"
nijave
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.