Получение необрезанных групп Active Directory пользователя из командной строки

Question 1

Я часто использую net userкоманду, чтобы посмотреть группы AD для пользователя:

net user /DOMAIN <username>

Это работает хорошо, однако имена групп сокращены примерно до 20 символов. И в моей организации названия большинства групп намного длиннее этого.

Кто-нибудь знает способ получить необрезанные группы AD через командную строку?

Question 2

Вы можете проанализировать вывод команды GPRESULT.

Question 3

GPRESULTэто правильная команда, но ее нельзя запустить без параметров. /vили подробный вариант сложно управлять без вывода в текстовый файл. EG Я рекомендую использовать

gpresult /user myAccount /v > C:\dev\me.txt- Убедитесь, что C: \ Dev \ me.txt существует

Другой вариант - отображать только сводную информацию, которая может быть полностью видна в командном окне:

gpresult /user myAccount /r

Учетные записи перечислены под заголовком:

The user is a part of the following security groups
---------------------------------------------------

Question 4

Немного устаревший пост, но я понял, что за хрень. Удовлетворяет ли "whoami" вашим потребностям?

Я узнал об этом только сегодня (фактически, из того же поиска в Google, который привел меня сюда). У Windows есть инструмент whoami со времен XP (часть дополнения к набору инструментов), и он был встроен с Vista.

whoami /groups

Перечисляет все группы AD для текущего пользователя, вошедшего в систему. Я считаю, что для этого действительно требуется, чтобы вы вошли в систему как этот пользователь, поэтому это не поможет, если в вашем случае использования требуется возможность запустить команду для просмотра другого пользователя.

Только названия групп:

whoami /groups /fo list |findstr /c:"Group Name:"

Question 5

Или вы можете использовать dsquery и dsget :

dsquery user domainroot -name <userName> | dsget user -memberof

Чтобы получить членство в группах примерно так:

Tue 09/10/2013 13:17:41.65
C:\
>dsquery user domainroot -name jqpublic | dsget user -memberof
"CN=Technical Support Staff,OU=Acme,OU=Applications,DC=YourCompany,DC=com"
"CN=Technical Support Staff,OU=Contosa,OU=Applications,DC=YourCompany,DC=com"
"CN=Regional Administrators,OU=Workstation,DC=YourCompany,DC=com"

Хотя я не могу найти никаких доказательств того, что я когда-либо устанавливал этот пакет на свой компьютер, вам может потребоваться установить Инструменты удаленного администрирования сервера для Windows 7 .

Question 6

В PowerShell намного проще:

Get-ADPrincipalGroupMembership <username>

Требование: учетная запись, под которой вы работаете, должна быть членом того же домена, что и целевой пользователь, если вы не укажете -Credentialи -Server(непроверено).

Кроме того, у вас должен быть установлен модуль Active Directory Powershell, что, как говорит @ dave-lucre в комментарии к другому ответу, не всегда возможно.

Только для названий групп попробуйте одно из следующих:

(Get-ADPrincipalGroupMembership <username>).Name
Get-ADPrincipalGroupMembership <username> |Select Name

Question 7

Использование Powershell: Windows Powershell, работающая с Active Directory

Быстрый совет - определение членства в группе AD с помощью Powershell

Question 8

Основываясь на ответе Брайана Макки, я пытался использовать gpresult /user <UserName> /rкоманду, но, похоже, она работала только для моей учетной записи; для учетных записей других пользователей я получил такой результат:The user "userNameHere" does not have RSOP data .

Поэтому я прочитал этот блог - https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html - и нашел решение. Вы должны знать имя компьютера пользователя:

gpresult /s <UserComputer> /r /user:<UserName>

После выполнения команды вам нужно ENTERнесколько раз завершить программу, потому что она остановится в середине вывода. Кроме того, результаты дали множество данных, включая раздел для " COMPUTER SETTINGS> Applied Group Policy Objects", затем " COMPUTER SETTINGS> Security groups" и, наконец, " USER SETTINGS> security groups" (это то, что мы ищем с группами AD, перечисленными с не усеченными описаниями!).

Интересно отметить, что у GPRESULT были некоторые дополнительные члены, которых не было в команде NET USER. Кроме того, порядок сортировки не соответствует алфавиту. Любой орган, который может добавить больше идей в комментарии, было бы здорово.

ПОЛУЧЕННЫЕ РЕЗУЛЬТАТЫ: gpresult (with ComputerName, UserName)

По соображениям безопасности я включил только часть результатов членства. (ВСЕГО 36, ВЫБОРКА 12)

The user is a part of the following security groups
---------------------------------------------------
..
 Internet Email 
 GEVStandardPSMViewers  
 GcoFieldServicesEditors    
 AnimalWelfare_Readers  
 Business Objects   
 Zscaler_Standard_Access    
..
 GCM    
..
 GcmSharesEditors   
 GHVStandardPSMViewers  
 IntranetReportsViewers 
 JetDWUsers     -- (NOTE: this one was deleted today, the other "Jet" one was added)
..
 Time and Attendance Users  
..

ПОЛУЧЕННЫЕ РЕЗУЛЬТАТЫ: net user /DOMAIN (with UserName)

По соображениям безопасности я включил только часть результатов членства. (ВСЕГО 23, ВЫБОРКА 12)

Local Group Memberships  
Global Group memberships    ...
                             *Internet Email       *GEVStandardPSMViewers
                             *GcoFieldServicesEdito*AnimalWelfare_Readers
                             *Business Objects     *Zscaler_Standard_Acce
                             ...
                             *Time and Attendance U*GCM
                             ...
                             *GcmSharesEditors     *GHVStandardPSMViewers
                             *IntranetReportsViewer*JetPowerUsers
The command completed successfully.

Answer 1

92

Я часто использую net userкоманду, чтобы посмотреть группы AD для пользователя:

net user /DOMAIN <username>

Это работает хорошо, однако имена групп сокращены примерно до 20 символов. И в моей организации названия большинства групп намного длиннее этого.

Кто-нибудь знает способ получить необрезанные группы AD через командную строку?

windows cmd active-directory Бен
источник

1

Основываясь на дате этого вопроса, я предполагаю, что 20-символьное усечение больше не актуально, поскольку выполнение этой команды возвращает группы с большими именами. Ответ ниже whoami /groupsтоже хороший. Но в нем перечислены только группы пользователей, вошедших в систему в данный момент. Однако подражание и хитрое программирование могут обойти это;)

Ричард Баркер

2

Выполнить поиск пользователя в домене моей организации; Усечение до 20 символов все еще остается проблемой.

SherlockSpreadsheets

Хороший вопрос, Агуадо!

Крейг Уилкокс

Answer 2

1

Основываясь на дате этого вопроса, я предполагаю, что 20-символьное усечение больше не актуально, поскольку выполнение этой команды возвращает группы с большими именами. Ответ ниже whoami /groupsтоже хороший. Но в нем перечислены только группы пользователей, вошедших в систему в данный момент. Однако подражание и хитрое программирование могут обойти это;)

Ричард Баркер

Answer 3

2

Выполнить поиск пользователя в домене моей организации; Усечение до 20 символов все еще остается проблемой.

SherlockSpreadsheets

Answer 4

Хороший вопрос, Агуадо!

Крейг Уилкокс

Answer 5

-11

Вы можете проанализировать вывод команды GPRESULT.

серийный хобби
источник

69

Без примера это бесполезный ответ

qujck

8

Но это правильный бесполезный ответ ... видимо.

Warlord 099,

Он не показывает группы AD. Он показывает МНОГО другого, но не группы AD.

John Rocha,

Ребята, в то время (спросили и ответили в 2009 году), возможно, это был единственный способ сделать то, что нужно OP. Обратите внимание, что он упоминает усечение после 20 символов в имени группы.

Ричард Баркер

1

@RichardBarker: В 2019 году в NET USER по-прежнему происходит усечение.

Росс Прессер,

Answer 6

69

Без примера это бесполезный ответ

qujck

Answer 7

8

Но это правильный бесполезный ответ ... видимо.

Warlord 099,

Answer 8

Он не показывает группы AD. Он показывает МНОГО другого, но не группы AD.

John Rocha,

Answer 9

Ребята, в то время (спросили и ответили в 2009 году), возможно, это был единственный способ сделать то, что нужно OP. Обратите внимание, что он упоминает усечение после 20 символов в имени группы.

Ричард Баркер

Answer 10

1

@RichardBarker: В 2019 году в NET USER по-прежнему происходит усечение.

Росс Прессер,

Answer 11

113

GPRESULTэто правильная команда, но ее нельзя запустить без параметров. /vили подробный вариант сложно управлять без вывода в текстовый файл. EG Я рекомендую использовать

gpresult /user myAccount /v > C:\dev\me.txt- Убедитесь, что C: \ Dev \ me.txt существует

Другой вариант - отображать только сводную информацию, которая может быть полностью видна в командном окне:

gpresult /user myAccount /r

Учетные записи перечислены под заголовком:

The user is a part of the following security groups
---------------------------------------------------

П.Брайан Макки
источник

7

Это должен быть ответ

LT

1

Если вы ищете конкретную строку, вы можете использовать ее findstrвместо перенаправления вывода в файл с последующим поиском файла. Например, gpresult /user myAccount /r | findstr mySearchString.

Джесси,

2

Когда я запускаю это для своей учетной записи, это здорово, и я вижу группы безопасности. Когда я запускаю его для другой учетной записи пользователя, команда возвращает: У пользователя userNameHere нет данных RSOP.

SherlockSpreadsheets

Answer 12

7

Это должен быть ответ

LT

Answer 13

1

Если вы ищете конкретную строку, вы можете использовать ее findstrвместо перенаправления вывода в файл с последующим поиском файла. Например, gpresult /user myAccount /r | findstr mySearchString.

Джесси,

Answer 14

2

Когда я запускаю это для своей учетной записи, это здорово, и я вижу группы безопасности. Когда я запускаю его для другой учетной записи пользователя, команда возвращает: У пользователя userNameHere нет данных RSOP.

SherlockSpreadsheets

Answer 15

Немного устаревший пост, но я понял, что за хрень. Удовлетворяет ли "whoami" вашим потребностям?

Я узнал об этом только сегодня (фактически, из того же поиска в Google, который привел меня сюда). У Windows есть инструмент whoami со времен XP (часть дополнения к набору инструментов), и он был встроен с Vista.

whoami /groups

Перечисляет все группы AD для текущего пользователя, вошедшего в систему. Я считаю, что для этого действительно требуется, чтобы вы вошли в систему как этот пользователь, поэтому это не поможет, если в вашем случае использования требуется возможность запустить команду для просмотра другого пользователя.

Только названия групп:

whoami /groups /fo list |findstr /c:"Group Name:"

Answer 16

Я очень давно использую WhoAmIдля получения своего имени пользователя, только чтобы понять СЕГОДНЯ, что вы можете сделать гораздо больше с ним! Спасибо.

MaYaN

Answer 17

3

перечислить только имена групп: for /f "tokens=1 delims=," %g in ('whoami /groups /fo csv /nh') do @echo "%~g"(примечание: использовать %%вместо %командного файла)

Lectrode

Answer 18

идеальный! Не стесняйтесь предлагать свежие ответы на устаревшие сообщения!

Крейг Уилкокс

Answer 19

Или вы можете использовать dsquery и dsget :

dsquery user domainroot -name <userName> | dsget user -memberof

Чтобы получить членство в группах примерно так:

Tue 09/10/2013 13:17:41.65
C:\
>dsquery user domainroot -name jqpublic | dsget user -memberof
"CN=Technical Support Staff,OU=Acme,OU=Applications,DC=YourCompany,DC=com"
"CN=Technical Support Staff,OU=Contosa,OU=Applications,DC=YourCompany,DC=com"
"CN=Regional Administrators,OU=Workstation,DC=YourCompany,DC=com"

Хотя я не могу найти никаких доказательств того, что я когда-либо устанавливал этот пакет на свой компьютер, вам может потребоваться установить Инструменты удаленного администрирования сервера для Windows 7 .

Answer 20

В PowerShell намного проще:

Get-ADPrincipalGroupMembership <username>

Требование: учетная запись, под которой вы работаете, должна быть членом того же домена, что и целевой пользователь, если вы не укажете -Credentialи -Server(непроверено).

Кроме того, у вас должен быть установлен модуль Active Directory Powershell, что, как говорит @ dave-lucre в комментарии к другому ответу, не всегда возможно.

Только для названий групп попробуйте одно из следующих:

(Get-ADPrincipalGroupMembership <username>).Name
Get-ADPrincipalGroupMembership <username> |Select Name

Answer 21

1

Отличный ответ! Это работает, но я не уверен, что это облегчит задачу :). Вам нужно проанализировать результат, чтобы получить список имен групп (я бы расширил это!). Это не проблема для технарей, разбирающихся в PS, но переход от пакета DOS к PS никогда не бывает легким!

hector-j-rivas

Answer 22

0

Использование Powershell: Windows Powershell, работающая с Active Directory

Быстрый совет - определение членства в группе AD с помощью Powershell

Митч Уит
источник

1

Вы не можете сделать это без установки модуля Active Directory Powershell (что не всегда вариант)

Дэйв Лукр,

2

Хотя эта ссылка может дать ответ на вопрос, лучше включить сюда основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными, если ссылка на страницу изменится. - Из

отзыва

@Zulan: ты тратишь время на ответ, которому 7 лет! Более того, это также кажется несоответствующим, поскольку вы не прокомментировали принятый ответ таким же образом.

Mitch Wheat

@MitchWheat: Вы обратили внимание на From Reviewссылку в конце его комментария? Он не стал комментировать принятый ответ, потому что не нашел его в обзоре.

zondo 08

Я сделал. Я бы подумал, что рецензент хотя бы проверит принятый ответ.

Mitch Wheat

Answer 23

1

Вы не можете сделать это без установки модуля Active Directory Powershell (что не всегда вариант)

Дэйв Лукр,

Answer 24

2

Хотя эта ссылка может дать ответ на вопрос, лучше включить сюда основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными, если ссылка на страницу изменится. - Из

отзыва

Answer 25

@Zulan: ты тратишь время на ответ, которому 7 лет! Более того, это также кажется несоответствующим, поскольку вы не прокомментировали принятый ответ таким же образом.

Mitch Wheat

Answer 26

@MitchWheat: Вы обратили внимание на From Reviewссылку в конце его комментария? Он не стал комментировать принятый ответ, потому что не нашел его в обзоре.

zondo 08

Answer 27

Я сделал. Я бы подумал, что рецензент хотя бы проверит принятый ответ.

Mitch Wheat

Answer 28

Основываясь на ответе Брайана Макки, я пытался использовать gpresult /user <UserName> /rкоманду, но, похоже, она работала только для моей учетной записи; для учетных записей других пользователей я получил такой результат:The user "userNameHere" does not have RSOP data .

Поэтому я прочитал этот блог - https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html - и нашел решение. Вы должны знать имя компьютера пользователя:

gpresult /s <UserComputer> /r /user:<UserName>

После выполнения команды вам нужно ENTERнесколько раз завершить программу, потому что она остановится в середине вывода. Кроме того, результаты дали множество данных, включая раздел для " COMPUTER SETTINGS> Applied Group Policy Objects", затем " COMPUTER SETTINGS> Security groups" и, наконец, " USER SETTINGS> security groups" (это то, что мы ищем с группами AD, перечисленными с не усеченными описаниями!).

Интересно отметить, что у GPRESULT были некоторые дополнительные члены, которых не было в команде NET USER. Кроме того, порядок сортировки не соответствует алфавиту. Любой орган, который может добавить больше идей в комментарии, было бы здорово.

ПОЛУЧЕННЫЕ РЕЗУЛЬТАТЫ: gpresult (with ComputerName, UserName)

По соображениям безопасности я включил только часть результатов членства. (ВСЕГО 36, ВЫБОРКА 12)

The user is a part of the following security groups
---------------------------------------------------
..
 Internet Email 
 GEVStandardPSMViewers  
 GcoFieldServicesEditors    
 AnimalWelfare_Readers  
 Business Objects   
 Zscaler_Standard_Access    
..
 GCM    
..
 GcmSharesEditors   
 GHVStandardPSMViewers  
 IntranetReportsViewers 
 JetDWUsers     -- (NOTE: this one was deleted today, the other "Jet" one was added)
..
 Time and Attendance Users  
..

ПОЛУЧЕННЫЕ РЕЗУЛЬТАТЫ: net user /DOMAIN (with UserName)

По соображениям безопасности я включил только часть результатов членства. (ВСЕГО 23, ВЫБОРКА 12)

Local Group Memberships  
Global Group memberships    ...
                             *Internet Email       *GEVStandardPSMViewers
                             *GcoFieldServicesEdito*AnimalWelfare_Readers
                             *Business Objects     *Zscaler_Standard_Acce
                             ...
                             *Time and Attendance U*GCM
                             ...
                             *GcmSharesEditors     *GHVStandardPSMViewers
                             *IntranetReportsViewer*JetPowerUsers
The command completed successfully.

Получение необрезанных групп Active Directory пользователя из командной строки

Ответы: