Как составить список пользователей и групп группы безопасности AD, если не администратор домена

Я на Windows 8 подключен к домену.

Я хочу просмотреть пользователей и группы группы безопасности AD. Я не владелец группы. Команда:

net group /domain TheGroupName

показывает прямых пользователей этой группы, но не показывает группы в группе.

В качестве альтернативы Windows 8 у меня также есть удаленный доступ к Windows Server 2008 R2, и я являюсь администратором этого компьютера, но не администратором домена. Программа "dsget" не установлена.

Этот вопрос расширяется об этом (511715)

windows active-directory user-groups

— crokusek
источник

Если вы хотите получить лучший ответ на уже существующий вопрос. Надлежащая процедура - предложить щедрость на этот существующий вопрос.

— Ramhound

На этот вопрос был дан ответ, поскольку он был поэтапным. Это новый, но очень связанный вопрос.

— crokusek

Что заставляет вас думать, что у вас должен быть доступ для получения списков пользователей и групп, если вы не являетесь администратором домена (или у вас есть соответствующие конкретные разрешения, какими бы они ни были, для вашей учетной записи домена)? Мне кажется, что все наоборот.

— CVn

Эта команда работает для меня сейчас, и, насколько я знаю, я не администратор домена. Вы говорите, что я должен быть? Я не думаю, что я тоже владелец группы.

— crokusek

Функция «Поиск в Active Directory» из «Мой компьютер-> Сеть» предоставит вам доступ к группам и основной информации о пользователях без специальных разрешений.

— Абраксас

Ответы:

Перейдите в «Компьютер», нажмите «Сеть» в левом меню, в верхней панели выберите «Поиск в Active Directory»

Вы должны иметь возможность искать группы и просматривать членство здесь, даже если не администратор.

— Абраксас
источник

«Так просто, не администратор домена может сделать это». Я не понимал, что означает «Компьютер» в проводнике или «Сеть» Alt-Q. Можно даже дважды щелкнуть, чтобы развернуть. Спасибо. Не знаете, почему это не был ответ на связанный вопрос, потому что это только для Windows 8?

— crokusek

Этот диалог был вокруг навсегда. IIRC Windows 2000 также содержит его.

— Даниэль Б

Эквивалент командной строки (или Run):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow

— Trisped

Где эквивалент в Windows 10?

— flickerfly

@flickerfly в W10, просто нажмите в верхней части окна в сети (просмотр файловой сети), и вы увидите пункт «Поиск в Active Directory». кажется, что «лента» (это так называется) скрыта по умолчанию. Я добавил еще один ответ с более простым способом вызова этой программы, и теперь у меня есть удобный ярлык для этой команды.

— Разван Зойтану

Запустите это из командной строки, чтобы получить полное членство в группе AD (пользователи И группы). Проверено на Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

Там есть удобная вкладка Advanced, которая поддерживает частичный поиск строк (начиная с, заканчивая на).

— Разван Зойтану
источник

Работает и на Windows 7. Приветствия.

— xhafan

Меньше кликов, те же результаты +1

— Рэндольф

Отличный ответ, прямо к делу.

— Амарнасан

Чтобы сделать это более доступным: добавьте начальный инфронт, вставьте его userq.batв system32. Затем откройте диалог через Run-dialog (WINDOWS + R) и userq.

— Панки

Sysinternals предлагает AD Explorer , утилиту для отображения полной структуры LDAP леса AD. Это немного излишним для вашего предполагаемого использования, хотя.

Я не знаю, какие именно разрешения необходимы для запроса этих данных, но я думаю, что любой вошедший в систему пользователь может это сделать. У меня никогда не возникало проблем с запросом практически ко всему, но, возможно, домен на работе не защищен должным образом.

Примечание об удобстве использования: вам не нужно вводить свои учетные данные, если вы вошли в систему как пользователь домена.

Однако вам нужен IP-адрес или имя хоста контроллера домена. Вероятно, это то же самое, что и ваш DNS-сервер, поэтому просто запустите его nslookupи попробуйте адрес, отображаемый на нем.

— Даниэль Б
источник

Вы можете открыть командную строку и выполнить команду «echo% LOGONSERVER%», чтобы увидеть сервер AD, используемый компьютером для аутентификации. Кроме того, вы должны быть в состоянии сделать «nslookup my.domain.name», чтобы получить список всех серверов AD. Поэтому, если вы входите в систему с помощью «mydomain \ myuser», попробуйте «nslookup mydomain»

— nijave