Załóżmy, że mam identyfikator użytkownika w usłudze Active Directory. Chciałbym uzyskać listę wszystkich grup AD, w których użytkownik jest obecnie członkiem. Jak mogę to zrobić z wiersza poleceń systemu Windows?
Próbowałem następujące:
dsget user "DC=jxd123" -memberof
Błąd:
dsquery failed:'-memberof' is an unknown parameter.
type dsquery /? for help.
windows
active-directory
MacGyver
źródło
źródło
Odpowiedzi:
Możesz to zrobić w PowerShell dość łatwo. Jestem pewien, że możesz to zrobić również za pomocą narzędzi ds, ale są one stare i chrupiące, a PowerShell powinien być używany do wszystkiego, co możliwe w dzisiejszych czasach.
Krótsza wersja
źródło
Get-ADPrincipalGroupMembership
jest innym sposobem na to w PowerShell.Lub za pomocą polecenia użytkownika netto ...
źródło
Pojedyncza linia, nie wymaga modułów, używa bieżącego zalogowanego użytkownika $ ($ env: nazwa użytkownika), działa z innych komputerów z systemem Windows:
Qudos do tego artykułu vbs / powershell: http://technet.microsoft.com/en-us/library/ff730963.aspx
źródło
Znaleziono dobry zasób:
http://social.technet.microsoft.com/wiki/contents/articles/2195.active-directory-dsquery-commands.aspx
Oto jak to zrobić z wiersza polecenia systemu Windows:
źródło
PowerShell:
źródło
Jeśli chcesz zobaczyć własne grupy, możesz
whoami /groups
:Zaletą tego polecenia
net user /domain username
jest to, że wyświetlane są również niejawne członkostwa w grupachwhoami
.źródło
whoami /groups /fo list
Ponieważ najłatwiej jest go czytać gołym okiem.Inne podejście: skrypt PowerShell, który wyświetla wszystkie niejawne członkostwa w grupach z tokena konta Windows. Działa w systemie z ograniczeniami.
źródło
źródło
źródło
adfind to kolejne świetne narzędzie do tego typu rzeczy. Jest to darmowe narzędzie od MVP Joe Richards
http://www.joeware.net/freetools/tools/adfind/
Możesz użyć jednego z niedoborów
źródło
Ta wersja programu PowerShell zwraca tylko nazwy grup AD, a nie nazwę wyróżniającą grupy. Dane wyjściowe „select-object” można łatwo potokować do pliku CSV lub pliku testowego.
(Get-ADUser ExampleUser –Properties MemberOf).memberof | Get-ADGroup | Select-Object name
źródło
PowerShell, daje ładne i czyste wyjście.
źródło
Oto rozwiązanie przeszukujące wszystkie domeny w danej domenie (zakładając odpowiednie uprawnienia dla każdej domeny):
Korzystanie z Get-ADPrincipalGroupMembership
źródło
Spróbuj tego:
źródło