Как составить список пользователей и групп группы безопасности AD, если не администратор домена

59

Я на Windows 8 подключен к домену.

Я хочу просмотреть пользователей и группы группы безопасности AD. Я не владелец группы. Команда:

net group /domain TheGroupName

показывает прямых пользователей этой группы, но не показывает группы в группе.

В качестве альтернативы Windows 8 у меня также есть удаленный доступ к Windows Server 2008 R2, и я являюсь администратором этого компьютера, но не администратором домена. Программа "dsget" не установлена.

Этот вопрос расширяется об этом (511715)

windows active-directory user-groups crokusek
источник
Если вы хотите получить лучший ответ на уже существующий вопрос. Надлежащая процедура - предложить щедрость на этот существующий вопрос.
Ramhound
1
На этот вопрос был дан ответ, поскольку он был поэтапным. Это новый, но очень связанный вопрос.
crokusek
Что заставляет вас думать, что у вас должен быть доступ для получения списков пользователей и групп, если вы не являетесь администратором домена (или у вас есть соответствующие конкретные разрешения, какими бы они ни были, для вашей учетной записи домена)? Мне кажется, что все наоборот.
CVn
Эта команда работает для меня сейчас, и, насколько я знаю, я не администратор домена. Вы говорите, что я должен быть? Я не думаю, что я тоже владелец группы.
crokusek
1
Функция «Поиск в Active Directory» из «Мой компьютер-> Сеть» предоставит вам доступ к группам и основной информации о пользователях без специальных разрешений.
Абраксас

Ответы:

76

Перейдите в «Компьютер», нажмите «Сеть» в левом меню, в верхней панели выберите «Поиск в Active Directory»

Вы должны иметь возможность искать группы и просматривать членство здесь, даже если не администратор.

Доступ к «Поиск Active Directory»

Абраксас
источник
3
«Так просто, не администратор домена может сделать это». Я не понимал, что означает «Компьютер» в проводнике или «Сеть» Alt-Q. Можно даже дважды щелкнуть, чтобы развернуть. Спасибо. Не знаете, почему это не был ответ на связанный вопрос, потому что это только для Windows 8?
crokusek
1
Этот диалог был вокруг навсегда. IIRC Windows 2000 также содержит его.
Даниэль Б
12
Эквивалент командной строки (или Run):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow
Trisped
2
Где эквивалент в Windows 10?
flickerfly
2
@flickerfly в W10, просто нажмите в верхней части окна в сети (просмотр файловой сети), и вы увидите пункт «Поиск в Active Directory». кажется, что «лента» (это так называется) скрыта по умолчанию. Я добавил еще один ответ с более простым способом вызова этой программы, и теперь у меня есть удобный ярлык для этой команды.
Разван Зойтану
31

Запустите это из командной строки, чтобы получить полное членство в группе AD (пользователи И группы). Проверено на Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

Там есть удобная вкладка Advanced, которая поддерживает частичный поиск строк (начиная с, заканчивая на).

Разван Зойтану
источник
1
Работает и на Windows 7. Приветствия.
xhafan
Меньше кликов, те же результаты +1
Рэндольф
Отличный ответ, прямо к делу.
Амарнасан
1
Чтобы сделать это более доступным: добавьте начальный инфронт, вставьте его userq.batв system32. Затем откройте диалог через Run-dialog (WINDOWS + R) и userq.
Панки
9

Sysinternals предлагает AD Explorer , утилиту для отображения полной структуры LDAP леса AD. Это немного излишним для вашего предполагаемого использования, хотя.

Я не знаю, какие именно разрешения необходимы для запроса этих данных, но я думаю, что любой вошедший в систему пользователь может это сделать. У меня никогда не возникало проблем с запросом практически ко всему, но, возможно, домен на работе не защищен должным образом.

Примечание об удобстве использования: вам не нужно вводить свои учетные данные, если вы вошли в систему как пользователь домена.

Однако вам нужен IP-адрес или имя хоста контроллера домена. Вероятно, это то же самое, что и ваш DNS-сервер, поэтому просто запустите его nslookupи попробуйте адрес, отображаемый на нем.

Даниэль Б
источник
2
Вы можете открыть командную строку и выполнить команду «echo% LOGONSERVER%», чтобы увидеть сервер AD, используемый компьютером для аутентификации. Кроме того, вы должны быть в состоянии сделать «nslookup my.domain.name», чтобы получить список всех серверов AD. Поэтому, если вы входите в систему с помощью «mydomain \ myuser», попробуйте «nslookup mydomain»
nijave