Я часто использую net userкоманду, чтобы посмотреть группы AD для пользователя:
net user /DOMAIN <username>
Это работает хорошо, однако имена групп сокращены примерно до 20 символов. И в моей организации названия большинства групп намного длиннее этого.
Кто-нибудь знает способ получить необрезанные группы AD через командную строку?
Ответы:
Вы можете проанализировать вывод команды GPRESULT.
GPRESULTэто правильная команда, но ее нельзя запустить без параметров. /vили подробный вариант сложно управлять без вывода в текстовый файл. EG Я рекомендую использовать
gpresult /user myAccount /v > C:\dev\me.txt- Убедитесь, что C: \ Dev \ me.txt существует
Другой вариант - отображать только сводную информацию, которая может быть полностью видна в командном окне:
gpresult /user myAccount /r
Учетные записи перечислены под заголовком:
The user is a part of the following security groups
---------------------------------------------------
findstrвместо перенаправления вывода в файл с последующим поиском файла. Например, gpresult /user myAccount /r | findstr mySearchString.
Немного устаревший пост, но я понял, что за хрень. Удовлетворяет ли "whoami" вашим потребностям?
Я узнал об этом только сегодня (фактически, из того же поиска в Google, который привел меня сюда). У Windows есть инструмент whoami со времен XP (часть дополнения к набору инструментов), и он был встроен с Vista.
whoami /groups
Перечисляет все группы AD для текущего пользователя, вошедшего в систему. Я считаю, что для этого действительно требуется, чтобы вы вошли в систему как этот пользователь, поэтому это не поможет, если в вашем случае использования требуется возможность запустить команду для просмотра другого пользователя.
Только названия групп:
whoami /groups /fo list |findstr /c:"Group Name:"
WhoAmIдля получения своего имени пользователя, только чтобы понять СЕГОДНЯ, что вы можете сделать гораздо больше с ним! Спасибо.
for /f "tokens=1 delims=," %g in ('whoami /groups /fo csv /nh') do @echo "%~g"(примечание: использовать %%вместо %командного файла)
Или вы можете использовать dsquery и dsget :
dsquery user domainroot -name <userName> | dsget user -memberof
Чтобы получить членство в группах примерно так:
Tue 09/10/2013 13:17:41.65
C:\
>dsquery user domainroot -name jqpublic | dsget user -memberof
"CN=Technical Support Staff,OU=Acme,OU=Applications,DC=YourCompany,DC=com"
"CN=Technical Support Staff,OU=Contosa,OU=Applications,DC=YourCompany,DC=com"
"CN=Regional Administrators,OU=Workstation,DC=YourCompany,DC=com"
Хотя я не могу найти никаких доказательств того, что я когда-либо устанавливал этот пакет на свой компьютер, вам может потребоваться установить Инструменты удаленного администрирования сервера для Windows 7 .
В PowerShell намного проще:
Get-ADPrincipalGroupMembership <username>
Требование: учетная запись, под которой вы работаете, должна быть членом того же домена, что и целевой пользователь, если вы не укажете -Credentialи -Server(непроверено).
Кроме того, у вас должен быть установлен модуль Active Directory Powershell, что, как говорит @ dave-lucre в комментарии к другому ответу, не всегда возможно.
Только для названий групп попробуйте одно из следующих:
(Get-ADPrincipalGroupMembership <username>).Name
Get-ADPrincipalGroupMembership <username> |Select Name
From Reviewссылку в конце его комментария? Он не стал комментировать принятый ответ, потому что не нашел его в обзоре.
Основываясь на ответе Брайана Макки, я пытался использовать gpresult /user <UserName> /rкоманду, но, похоже, она работала только для моей учетной записи; для учетных записей других пользователей я получил такой результат:The user "userNameHere" does not have RSOP data .
Поэтому я прочитал этот блог - https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html - и нашел решение. Вы должны знать имя компьютера пользователя:
gpresult /s <UserComputer> /r /user:<UserName>
После выполнения команды вам нужно ENTERнесколько раз завершить программу, потому что она остановится в середине вывода. Кроме того, результаты дали множество данных, включая раздел для " COMPUTER SETTINGS> Applied Group Policy Objects", затем " COMPUTER SETTINGS> Security groups" и, наконец, " USER SETTINGS> security groups" (это то, что мы ищем с группами AD, перечисленными с не усеченными описаниями!).
Интересно отметить, что у GPRESULT были некоторые дополнительные члены, которых не было в команде NET USER. Кроме того, порядок сортировки не соответствует алфавиту. Любой орган, который может добавить больше идей в комментарии, было бы здорово.
ПОЛУЧЕННЫЕ РЕЗУЛЬТАТЫ: gpresult (with ComputerName, UserName)
По соображениям безопасности я включил только часть результатов членства. (ВСЕГО 36, ВЫБОРКА 12)
The user is a part of the following security groups
---------------------------------------------------
..
Internet Email
GEVStandardPSMViewers
GcoFieldServicesEditors
AnimalWelfare_Readers
Business Objects
Zscaler_Standard_Access
..
GCM
..
GcmSharesEditors
GHVStandardPSMViewers
IntranetReportsViewers
JetDWUsers -- (NOTE: this one was deleted today, the other "Jet" one was added)
..
Time and Attendance Users
..
ПОЛУЧЕННЫЕ РЕЗУЛЬТАТЫ: net user /DOMAIN (with UserName)
По соображениям безопасности я включил только часть результатов членства. (ВСЕГО 23, ВЫБОРКА 12)
Local Group Memberships
Global Group memberships ...
*Internet Email *GEVStandardPSMViewers
*GcoFieldServicesEdito*AnimalWelfare_Readers
*Business Objects *Zscaler_Standard_Acce
...
*Time and Attendance U*GCM
...
*GcmSharesEditors *GHVStandardPSMViewers
*IntranetReportsViewer*JetPowerUsers
The command completed successfully.
whoami /groupsтоже хороший. Но в нем перечислены только группы пользователей, вошедших в систему в данный момент. Однако подражание и хитрое программирование могут обойти это;)