Come elencare gli utenti e i gruppi di un gruppo di sicurezza AD quando non è un amministratore di dominio

Sono su Windows 8 connesso al dominio.

Desidero visualizzare gli utenti e i gruppi di un gruppo di sicurezza AD. Non sono il proprietario del gruppo. Il comando:

net group /domain TheGroupName

mostra gli utenti diretti di quel gruppo ma non mostra i gruppi all'interno del gruppo.

In alternativa a Windows 8, ho anche accesso remoto a Windows Server 2008 R2 e sono un amministratore per quella macchina ma non un amministratore per il dominio. Il programma "dsget" non sembra essere installato.

Questa domanda si sta espandendo su questa (511715)

windows active-directory user-groups

— crokusek
fonte

Se vuoi una risposta migliore a una domanda già esistente. La procedura corretta è quella di offrire una generosità a quella domanda esistente.

— Ramhound,

A questa domanda è stata data una risposta in quanto è stata gradualmente. Questa è una domanda nuova ma molto correlata.

— crokusek,

Cosa ti fa pensare che dovresti avere accesso per ottenere gli elenchi di utenti e gruppi se non sei un amministratore di dominio (o disponi dell'autorizzazione specifica appropriata, qualunque essa sia, sul tuo account di dominio)? Per me il contrario sembrerebbe intuitivo.

— un CVn

Quel comando funziona per me adesso, e per quanto ne so non sono un amministratore di dominio. Stai dicendo che devo essere? Non penso nemmeno di essere il proprietario del gruppo.

— crokusek,

La funzione "Cerca in Active Directory" da Risorse del computer-> Rete ti garantirà l'accesso per visualizzare gruppi e informazioni di base sull'utente senza autorizzazioni speciali.

— Abraxas,

Risposte:

Vai su "Computer", fai clic su "Rete" dal menu a sinistra, nella barra in alto seleziona "Cerca in Active Directory"

Dovresti essere in grado di cercare gruppi e visualizzare l'appartenenza qui, anche se non un amministratore.

— Abraxas
fonte

"Così facile un amministratore non di dominio può farlo." Non mi ero reso conto che "Computer" intendesse all'interno di Explorer o Alt-Q "Rete". Puoi anche fare doppio clic per eseguire il drill down. Grazie. Non so perché questa non era una risposta alla domanda collegata, perché è solo per Windows 8?

— crokusek,

Questa finestra di dialogo esiste da sempre. Anche IIRC Windows 2000 lo contiene.

— Daniel B,

Equivalente da riga di comando (o Run):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow

— Trisped

Dov'è l'equivalente in Windows 10?

— flickerfly

@flickerfly in W10, basta fare clic sulla parte superiore della finestra su Rete (Vista rete file) e vedrai la cosa "Cerca in Active Directory". sembra che "ribbon" (è così che si chiama?) è nascosto per impostazione predefinita. Ho aggiunto un'altra risposta con un modo più semplice per chiamare questo programma e ora ho un pratico collegamento a quel comando.

— Razvan Zoitanu,

Eseguire questo da un prompt dei comandi per ottenere l'appartenenza completa di un gruppo AD (utenti E gruppi). Testato su Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

C'è una pratica scheda avanzata che supporta ricerche di stringhe parziali (che iniziano con, finiscono con).

— Razvan Zoitanu
fonte

Funziona anche su Windows 7. Saluti.

— Xhafan,

Meno clic, stessi risultati +1

— Randolph

Ottima risposta, direttamente al punto.

— Amarnasan,

Per rendere questo più accessibile: Aggiungere una "start" Infront, mettere questo in userq.bata system32. Quindi aprire la finestra di dialogo tramite Run-dialog (WINDOWS + R) e userq.

— Panki,

Sysinternals offre AD Explorer , un'utilità per elencare la struttura LDAP completa di una foresta AD. È leggermente eccessivo per l'uso previsto, però.

Non so quali autorizzazioni siano esattamente necessarie per la query di questi dati, ma immagino che qualsiasi utente connesso possa farlo. Non ho mai avuto problemi a interrogare praticamente tutto, ma forse il dominio al lavoro non è protetto correttamente.

Nota sull'usabilità: non è necessario inserire le credenziali se si è effettuato l'accesso come utente di dominio.

Tuttavia, è necessario l'indirizzo IP o il nome host di un controller di dominio. È probabile che sia lo stesso del tuo server DNS, quindi accendi nslookupe prova l'indirizzo visualizzato lì.

— Daniel B
fonte

È possibile aprire un prompt dei comandi ed eseguire "echo% LOGONSERVER%" per visualizzare il server AD utilizzato dal computer per l'autenticazione. Inoltre, dovresti essere in grado di fare "nslookup my.domain.name" per elencare tutti i server AD. Quindi se accedi usando "mydomain \ myuser" prova "nslookup

— mydomain