В этой статье речь пойдет о том, как вывести список групп, в которых состоит пользователь. Конечно, это можно сделать из GUI, но не всегда такой вывод удовлетворяет цели.
Также, через GUI вы не определите ПОЛНЫЙ список членства (т.н. косвенное членство), когда одни группы могут быть вложены в другие.
Если группа, в которой состоит пользователь, является вложенной группой другой группы — пользователь наделяется полномочиями, заданными конечной группе, хотя и не является ее членом напрямую. Эту группу вы не увидите на вкладке пользователя «Член групп» (Member of)
Рассмотрим в рамках этой статьи следующие инструменты:
- whoami /groups — членство в группах текущего пользователя
- dsget user — покажет прямое и косвенное членство
- Get-ADUser (Powershell)
1) Whoami /groups
Если нам необходимо узнать, в каких группах состоит текущий пользователь, под которым мы залогинены, можно воспользоваться командой:
whoami /groups
Правда вывод не очень удобен для восприятия. Будут отображены все группы с прямым и косвенным членством
2) Утилита dsget
Вывести список групп, в которых состоит пользователь:
(в данном примере выводим список групп, в которых состоит пользователь Peter Parker, находящийся в OU «IT departmentSupport team»)
dsget user "CN=Peter Parker,OU=Support team,OU=IT department,DC=Contoso,DC=com" -memberof
Следующая команда отобразит расширенный список групп, в т.ч. в которых косвенно состоит пользователь (ключ -expand)
dsget user "CN=Peter Parker,OU=Support team,OU=IT department,DC=Contoso,DC=com" -expand
Утилита dsget доступна только на контроллерах домена
3) Get-ADUser
Для выполнения командлета Get-ADUser требуется установить Powershell модуль Active-Directory.
Чтобы вывести список групп требуемого пользователя в удобном формате, необходимо выполнить следующий конвейер команд в powershell:
Get-ADUser username -properties memberof | select memberof -expandproperty memberof
Примечание: данная команда выведет прямое членство (по сути, содержимое закладки пользователя «Член групп» (Member of)
Содержание
- Примеры работы с группами MS Active Directory (AD DS) из командной строки Powershell
- Получение информации
- 1. Список всех групп
- 2. Подробная информация о группе
- 3. Посмотреть членов группы
- 4. Количество пользователей в группе
- 5. В каких группах состоит пользователь
- 6. Список пустых групп
- 7. Cписок пользователей, которые не входят в конкретную группу
- Действия с группами AD
- 1. Добавить пользователя в группу
- 2. Создать новую группу
- 3. Удалить пользователя из группы
- Краткое руководство. Просмотр групп и членов вашей организации в Azure Active Directory
- Предварительные требования
- Вход на портал Azure
- Создание группы
- Создание пользователя
- Добавление члена группы
- Просмотр всех групп
- Поиск группы
- Просмотр членов группы
- Очистка ресурсов
- Дальнейшие действия
- Управление группами AD с помощью PowerShell
- New-ADGroup – создаем новую группу AD
- Add-AdGroupMember – добавить пользователей в группу AD
- Remove-ADGroupMember – удалить пользователей из группы
- Get-ADGroup – получить информацию о группе AD
- Get-ADGroupMember – вывести список пользователей группы AD
- Просмотр групп Active Directory с использованием DSGet group
- Как я могу узнать, в каких группах AD я состою?
Примеры работы с группами MS Active Directory (AD DS) из командной строки Powershell
Получение информации
1. Список всех групп
* будут выбраны все группы, в названии которых встречается free.
2. Подробная информация о группе
* где ключ -Properties * покажет информацию о всех атрибутах группы.
Показать только SID и GUID группы:
Get-ADGroup «Domain Admins» | ft ObjectGUID, SID
3. Посмотреть членов группы
Перечень членов групп с базовой информацией о каждом пользователе:
Вывести на экран только имена пользователей:
* в данном примере используется ключ Recursive — это позволяет вывести на экран не только членов группы Administrators, но и членов групп, которые входят в эту группу.
Вывести членов групп с подробной информацией по каждому из них:
4. Количество пользователей в группе
Расчет выполняется методом Count:
5. В каких группах состоит пользователь
Задача немного обратная — работаем с пользователем и отображаем список групп, в которые он входит:
6. Список пустых групп
Имеются ввиду группы, в которых нет ни одного пользователя:
7. Cписок пользователей, которые не входят в конкретную группу
* в данном примере мы увидем список пользователей, которые не входят в группу Managers.
Действия с группами AD
1. Добавить пользователя в группу
Add-ADGroupMember «Domain Admins» dmosk
* в данном примере пользователь dmosk будет добавлен в группу Domain Admins.
2. Создать новую группу
* где GroupScope DomainLocal задает локальную область действия; Path определяет размещение группы в дереве Active Directory.
3. Удалить пользователя из группы
* удаляем пользователя dmosk из группы Domain Users. Ключ -Confirm:$false используется для автоматического подтверждения действия (система не станет запрашивать, точно ли Вы хотите удалить пользователя из группы).
Источник
Краткое руководство. Просмотр групп и членов вашей организации в Azure Active Directory
Вы можете просмотреть существующие в вашей организации группы и членов этих групп с помощью портала Azure. Группы используются для управления пользователями (членами), которым нужны одинаковые уровни доступа и разрешения в приложениях и службах с ограниченным доступом.
В этом кратком руководстве вы просмотрите все существующие в организации группы и назначенных членов.
Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
Предварительные требования
Для этого потребуются следующие компоненты.
Вход на портал Azure
Для входа на портал Azure используйте учетную запись глобального администратора вашего каталога.
Создание группы
Выберите Azure Active Directory, затем Группы и щелкните Новая группа.
Заполните страницу Группа:
Тип группы: выберите Безопасность.
Тип членства: выберите Назначенные.
Нажмите кнопку создания.
Создание пользователя
Создайте нового пользователя с именем Alain Charon. В качестве члена группы можно добавить только существующих пользователей. Сначала перейдите на вкладку «Имена личных доменов», чтобы получить проверенное доменное имя, в котором нужно создать пользователей. Дополнительные сведения о создании пользователей см. в этой статье.
Выберите Azure Active Directory, затем Пользователи и щелкните Новый пользователь.
Заполните данные на странице Пользователь.
Имя: введите Alain Charon.
Имя пользователя: введите alain@contoso.com.
Скопируйте автоматически созданный пароль, который подставляется в поле Пароль, а затем щелкните Создать.
Добавление члена группы
Выберите Azure Active Directory > Группы.
На странице Обзор политики управления мобильными устройствами — Запад выберите Члены из области Управление.
Выберите Добавление членов, а затем найдите и выберите Alain Charon.
Щелкните Выбрать.
Просмотр всех групп
Все группы своей организации можно просмотреть на странице Группы — Все группы портала Azure.
Выберите Azure Active Directory > Группы.
Откроется страница Группы — Все группы со списком активных групп.
Поиск группы
На странице Группы — Все группы введите строку MDM в поле Поиск.
Просмотр членов группы
Итак, вы нашли нужную группу и можете просмотреть назначенных в нее членов.
Выберите Члены в области Управление и просмотрите полный список членов, назначенных этой группе, включая Alain Charon.
Очистка ресурсов
Эта группа используется в нескольких руководствах, которые собраны в разделе документации Практические руководства. Но если вы не намерены ее использовать, удалите ее вместе с назначенными членами с помощью следующей процедуры.
Выберите команду Удалить.
Это действие удаляет группы и всех связанных с ней членов.
Но удаляется не сам пользователь Ален Charon, а его членство в удаленной группе.
Дальнейшие действия
Перейдите к следующей статье, которая описывает процесс привязки подписки к каталогу Azure AD.
Источник
В этой статье мы рассмотрим возможности PowerShell по управлению группами домена Active Directory. Мы рассмотрим, как создать новую группу в AD, добавить в нее пользователей (или удалить), вывести список пользователей группы и несколько других полезных действия с доменными группами, которые чрезвычайно полезны при повседневном администрировании. Для управления группами AD в модуле PowerShell для Active Directory имеются следующие основные командлеты:
Для использования данных командлетов в вашей сессии PowerShell должен быть загружен специальный модуль взаимодействия с AD — Active Directory Module for Windows PowerShell. Данный модуль впервые был представлен в Windows Server 208 R2. В Windows Server 2012 и выше этот модуль включен по умолчанию. На клиентских компьютерах его можно установить и включить в качестве одного из компонентов RSAT. Проверить, загружен ли модуль можно так:
Как вы видите, модуль ActiveDirectory загружен. Если нет – импортируйте его командой:
Полный список команд модуля можно получить так:
В модуле всего доступно 147 командлетов, из которых с группами могут работать 11.
New-ADGroup – создаем новую группу AD
Создадим новую группу в указанном контейнере (OU) Active Directory с помощью команды New-ADGroup:
С помощью атрибута Description можно задать описание группы, а с помощью DisplayName изменить отображаемое имя.
Параметром GroupScope можно задать один из следующих типов групп:
Создать группу распространения можно так:
Add-AdGroupMember – добавить пользователей в группу AD
Добавить пользователей в группу Active Directory можно с помощью командлета Add-AdGroupMember. Добавим в новую группу двух пользователей:
Если список пользователей, которых нужно добавить в группу довольно большой, можно сохранить список учетных записей в CSV файл, затем импортировать данный файл и добавить каждого пользователя в группу.
Формат CSV файла такой (список пользователей по одному в строке, имя столбца – users)
Чтобы получить всех членов одной группы (groupA) и добавить их в другую группу (groupB), воспользуйтесь такой командой:
Get-ADGroupMember “GroupA” | Get-ADUser | ForEach-Object
В том случае, если нужно скопировать в новую группу и членов всех вложенных групп (рекурсивно), нужно воспользоваться такой командой:
Remove-ADGroupMember – удалить пользователей из группы
Для удаления пользователей из группы AD нужно использовать командует Remove-ADGroupMember. Удалим из группы двух пользователей:
Подтвердите удаление пользователей из группы:
Если нужно удалить из группы пользователей по списку из CSV файла, воспользуйтесь такой командой:
Get-ADGroup – получить информацию о группе AD
Получить информацию о группе поможет командлет Get-ADGroup:
Даная команда выводит информацию об основных атрибутах группы (DN, тип группы, имя, SID). Чтобы вывести значение всех атрибутов группы домена AD, выполните такую команду:
Как вы видите, теперь стали отображаться такие атрибуты, как время создания и модификации группы, описание и т.д.
Get-ADGroupMember – вывести список пользователей группы AD
Вывести на экран список пользователей группы:
Чтобы оставить в результатах только имена пользователей, выполните:
Get-ADGroupMember ‘TestADGroup’| ft name
Если в данную группу включены другие группы домена, чтобы вывести полный список членов, в том числе всех вложенных групп, воспользуйтесь параметром Recursive.
Чтобы выгрузить список учетных записей, состоящих в определённой группе в CSV файл (для дальнейшего использования в Excel), выполните такую команду:
Чтобы добавить в текстовый файл данные учетных записей пользователей в AD, воспользуемся командлетом Get-ADUser. Например, помимо учетной записи нужно вывести должность и телефон пользователя группы:
Посчитать количество пользователей в группе можно так:
Оказалось, что в группе «domain admins» у нас состоит 7 учетных записей администраторов.
Чтобы найти список пустых групп в определенном OU, воспользуйтесь такой командой:
Источник
Просмотр групп Active Directory с использованием DSGet group
Утилиту dsget можно использовать для просмотра различной информации об объектах каталога Active Directory.
В этой статье мы покажем, как использовать команду dsget group для отображения информации о разных группах в домене AD.
Чтобы использовать команду dsget, пакет средств администрирования Microsoft Windows – Adminpak.msi (для Windows XP / Windows Server 2003 и ниже) или инструменты доменных служб Active Directory (AD DS) из пакета средств администрирования удаленного сервера (RSAT) (в современных версии Windows) должны быть установлены на вашем компьютере.
Команда dsget group без параметров отображает список всех групп в домене Active Directory (если в домене имеется большое количество групп, команда будет работать довольно долгое время).
Чтобы получить свойства определенной группы AD, выполните следующую команду:
Имя группы должно быть указано в формате DistinguishedName (DN).
По умолчанию отображается DN группы и ее описание.
Полный синтаксис и атрибуты, доступные для команды dsget group:
Например, чтобы узнать SID группы, запустите:
Чтобы проверить тип группы: Безопасность (да) или Распространение (нет), выполните:
Предположим, вы хотите перечислить текущих членов группы Domain Admins. Выполните команду:
Чтобы отобразить полный список пользователей, включая вложенные группы (рекурсивно), выполните:
Как вы можете видеть, последние две команды при отображении списка пользователей / групп возвращают их в формате DN, что не очень удобно.
Поэтому для получения имен пользователей (или других полей) вам необходимо использовать команду в сочетании с dsget user:
Как вы помните, имя группы для команды dsget group должно быть указано в формате различаемого имени.
Чтобы не указывать DN группы, вы можете использовать команду dsget group вместе с командой dsquery.
Например, чтобы получить список пользователей в группе «Domain Admins» и экспортировать их в текстовый файл, выполните команду:
Как вы можете видеть, теперь вам не нужно указывать DN группы.
Если вы не знаете точное имя группы, вы можете указать только часть имени.
Используется символ подстановки *. Например, вы хотите найти все группы, чьи имена начинаются с NY:
Аналогичным образом вы можете указать, например, все адреса электронной почты пользователей, которые состоят из группы, и сохранить список в файле CSV:
Источник
Я использую рабочий стол Windows XP в корпоративной среде. Как я могу узнать, к каким группам AD я принадлежу?
Попробуйте запустить gpresult /R сводку RSoP или gpresult /V подробный вывод из командной строки от имени администратора на компьютере. Это должно вывести что-то вроде этого:
Или, если вы вошли в ОС Windows Server с помощью модуля ActiveDirectory PowerShell (или с ОС клиента с помощью средств удаленного администрирования сервера), попробуйте выполнить Get-ADPrincipalGroupMembership командлет:
Это должно не только перечислить группы безопасности, но и группы рассылки, если я правильно помню (и что также может быть полезно знать). Также заботится о вложенности, т. Е. Вы находитесь в группе A, которая находится в B, поэтому она показывает вам также, как и в B (снова я пытаюсь вспомнить детали здесь).
В Vista и Win7 изначально для XP вам, вероятно, понадобятся инструменты поддержки sp2 (что также потребовало бы наличия достаточных прав для их установки, конечно). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en
Я думаю, что вы можете написать в окне cmd:
Замените USERNAME на свое имя пользователя без префикса домена.
Если у вас нет доступа к AD:
В конце вы увидите: пользователь входит в следующие группы безопасности
Просто запустите одно из следующего, одно для локальной группы, а другое для групп домена:
Затем проанализируйте выходные данные для искомого имени пользователя, так как в результате появится список пользователей в этой группе. Надеюсь это поможет.
Источник
Билл Стюарт, scripting guru, в своей статье на WindowsITPro описывает те проблемы, с которыми ему пришлось столкнуться при написании Powershell-скрипта, который бы выводил членство пользователей в группах Active Directory. Пришлось проделать 4 усовершенствования, чтобы все заработало как надо. Узнать, как Билл реализовал таки вывод членства в группах, и скачать сам Powershell-скрипт Вы можете под катом.
Ссылка на окончательный вариант скрипта.
www.windowsitpro.com/content/content/141463/141463.zip
Я сбился со счету, сколько раз я уже встречал на форумах вопрос: “Кто-нибудь знает, как получить информацию обо всех пользователях и их членстве в группах в домене AD?”. Аудиторы и консультанты по информационной безопасности также задают подобный вопрос, когда осуществляют оценку инфраструктуры (среды) Active Directory в организации. Так как этот вопрос довольно насущный, я решил написать PowerShell скрипт, который бы позволял упростить эту задачу.
Сначала я думал, что написать подобный скрипт – пара пустяков, но на моем пути встретились 4 препятствия, которые усложнили мою работу. Я опишу эти проблемы, чуть позже, но сначала мне хотелось бы рассказать об основах использования Microsoft.NET в Powershell при поиске по AD.
Использование .NET для поиска по AD
Используя .NET для поиска по AD, Вы можете использовать type accelerator в PowerShell для поиска объектов. (Type accelerator – сокращенное имя для .NET класса). Например, введите следующую команду, чтобы вывести список всех пользователей в данном домене:
PS C:> $searcher = "(&(objectCategory=user)(objectClass=user))"
PS C:> $searcher.FindAll()
[ ADSISearcher] – это type accelerator для объекта .NET System.DirectoryServices.DirectorySearcher. Строка, идущая после данного type accelerator, задает свойства SearchFilter для данного объекта, чтобы найти все объекты пользователей, и метод FindAll начинает поиск. На выходе мы получаем список объектов System.DirectoryServices.SearchResult.
Затем мы хотим определить, в какой группе состоит пользователь. Чтобы узнать, мы можем использовать коллекцию свойств (Properties collection) из объекта SearchResult и извлечь такой атрибут объекта как memberof. Используя переменную $searcher из предыдущего примера, мы можем использовать метод FindOne (вместо FindAll), чтобы извлечь один результат и вывести членство пользователя в группах:
PS C:> $result = $searcher.FindOne()
PS C:> $result.Properties["memberof"] | sort-object
Первая команда находит первого пользователя, который удовлетворяет поисковому фильтру, а вторая команда выводит список в групп, в которых пользователь состоит.
Однако если внимательно посмотреть на этот список, то можно заметить отсутствие важной детали: основная группа (primary group) пользователя не включена в атрибут memberof. Хотелось бы получить полный список групп (включая основную группу), что приводит нас к первой проблеме.
Проблема #1: Как найти основную группу пользователя
Есть обходной путь для исключения основной группы из атрибута memberof. Он описан в этой статье support.microsoft.com/kb/321360 Совершаем следующие действия:
- Связываемся (connect to) с объектом пользователя, используя WinNT provider (вместо LDAP provider).
- Извлекайте атрибут пользователя primaryGroupID .
- Извлекайте имена групп пользователя, используя WinNT provider, который включает основную группу.
- Осуществляйте поиск в AD этих групп, используях их sAMAccountName атрибуты.
- Находим группу, в которой атрибут primaryGroupToken совпадает с атрибутом пользователя primaryGroupID.
Проблема с этим “обходным путем” заключается в том, что он требует, чтобы скрипт WinNT provider для подключения к объекту пользователя. То есть, необходимо, чтобы скрипт перевел различающееся имя пользователя (например, CN=Ken Myer,OU=Marketing,DC=fabrikam,DC=com) в формат, который WinNT provider может использовать (например, WinNT://FABRIKAM/kenmyer,User).
Проблема #2: Перевод из одного формата имени в другой
Объект NameTranslate является COM (ActiveX) объектом, который использует интерфейс IADsNameTranslate, осуществляющий перевод имен объектов AD в переменные (чередующиеся, alternate) форматы. Вы можете использовать объект NameTranslate, создав объект и затем вызвав его Init метод для инициализации. Например, список 1 показывает код VBScript скрипта, которые создает и инициализирует NameTranslate.
Список 1: Создание и инициализация объекта NameTranslate в VBScript
Const ADS_NAME_INITTYPE_GC = 3
Dim NameTranslate
Set NameTranslate = CreateObject("NameTranslate")
NameTranslate.Init ADS_NAME_INITTYPE_GC, vbNull
Однако объект NameTranslate не работает так, как ожидалось в PowerShell, что показано на рисунке 1.
Рис 1: Неожиданное поведения объекта NameTranslate в PowerShell
Проблема заключается в том, что в объекте NameTranslate отсутствует библиотека типов, которые .NET (а следовательно и PowerShell) использует для предоставление простого доступа к COM-объектам. Но к счастью и эту проблему можно обойти: метод .NET InvokeMember позволяет PowerShell получить или установить свойства или вызвать метод из COM-объекта, который отсутствует в библиотеке типов. Список 2 показывает Powershell эквивалент кода скрипта VBScript, приведенного в таблице 1
Список 2: Создание и инициализация объекта NameTranslate в PowerShell
$ADS_NAME_INITTYPE_GC = 3
$NameTranslate = new-object -comobject NameTranslate
[Void] $NameTranslate.GetType().InvokeMember("Init", "InvokeMethod",
$NULL, $NameTranslate, ($ADS_NAME_INITTYPE_GC, $NULL))
Я хотел, чтобы скрипт решал другую проблему, связанную с именем. Атрибут memberof для пользователя AD содержит список различающихся имен, в которых пользователь состоит, но вместо этого я хотел получить атрибут samaccountname для каждой группы. Скрипт использует объект NameTranslate, чтобы справиться с этой проблемой.
Проблема #3: Что делать со специальными символами
Документация Microsoft относительно различающихся имен упоминает, что отдельные символы должны быть опущены (например, с префиксом “”) для того, чтобы быть правильным образом интерпретированы (в этой статье написано подробнее). К счастью, COM-объект Pathname дает такую возможность. Скрипт использует объект Pathname, чтобы пропустить те различающиеся имена, которые содержат специальные символы. Объект Pathname также требует .NET метод InvokeMember потому что, также как и объект NameTranslate, у этого объекта отсутствует библиотека типов.
Проблема #4: Повышаем производительность
Если оглянуться на Проблему #1 (Как найти основную группу пользователя), можно заметить, что обходное решение требует поиск групп пользователя. Проделав эту процедуру для нескольких учетных записей, Вы поймете, насколько она неоптимальна. Извлечение атрибута samaccountname для каждой группы в атрибуте memberof, о котором я упомянул, рассматривая Проблему #2 (Перевод из одного формата имени в другой) также неоптимально и отнимает много времени. Чтобы решить эту проблему скрипт использует две глобальные хеш-таблицы (global hash tables), которые производят хеширование результатов для повышения произодительности.
Get-UsersAndGroups.ps1
Get-UsersAndGroups.ps1 — это готовый Powershell-скрипт, который выводит список пользователей и их членства в группах. Синтаксис командной строки скрипта следующий:
Get-UsersAndGroups [[-SearchLocation] <String[]>] [-SearchScope <String>]
Параметр -SearchLocation представляет собой одно или несколько различающихся имен для учетных записей пользователей. Потому что различающееся имя содержит запятые (,), их необходимо помещать в скобки (одинарные или двойные) каждое различающееся имя, чтобы PowerShell не интерпретировал их как массив. Имя параметра -SearchLocation опционально. Скрипт также принимает конвейерный ввод (pipeline input); каждое значение из конвейера должно являться различающимся именем, которое необходимо искать.
Значение -SearchScope обозначает возможный масштаб поиска по AD. Это значение должно быть одним из трех: Base – Поиск ограничивается базовым объектом, не используется; OneLevel – поиск ближайших дочерних объектов базового объекта и Subtree – поиск по подветке. Если это значение не уточнено, то по умолчанию используется Subtree. Используйте -SearchScope OneLevel, если Вы хотите определенное подразделение (OU), но ни одна из OU не вложена в него. Скрипт выводит объекты, которые содержат свойства, перечисленные в таблице 1.
Преодолевая 4 проблемы
Скрипт решает вышеописанные проблемы:
- Проблема #1: Как найти основную группу пользователя: Функция get-primarygroupname возвращает имя основной группы пользователя.
- Проблема #2: Перевод из одного формата имени в другой: Скрипт использует COM-объект NameTranslate, чтобы осуществить перевод из одного формата имени в другое.
- Проблема #3: Что делать со специальными символами: Скрипт использует функцию get-escaped, которая использует объект Pathname, чтобы возвратить различающиеся имена с вставленными пропущенными символами (там, где это необходимо).
- Проблема #4: Повышаем производительность: Скрипт использует хэш-таблицы $PrimaryGroups и $Groups. Ключи в хеш-таблице $PrimaryGroups являютяются идентификаторами основной группы и их значения – атрибутами samaccountname основной группы.
Упрощаем аудит групп и пользователей
Написание скрипта Get-UsersAndGroups.ps1 оказалось не таким уж и простым, как мне казалось с первого взгляда, но проще сделать нельзя. Простейшее приложение скрипта –следующая команда:
PS C:> Get-UsersAndGroups | Export-CSV Report.csv -NoTypeInformation
Она создает .csv файл, который содержит полный список пользователей и групп для данного домена. Имя в своем арсенале такой скрипт, мы можете быстро и без проблем создать отчет по группам и пользователям.
Еще раз продублируем ссылку на окончательный вариант скрипта.
www.windowsitpro.com/content/content/141463/141463.zip
Сам скрипт:
# Get-UsersAndGroups.ps1
# Written by Bill Stewart (bstewart@iname.com)
#requires -version 2
<#
.SYNOPSIS
Retreves users, and group membership for each user, from Active Directory.
.DESCRIPTION
Retreves users, and group membership for each user, from Active Directory. Note that each user's primary group is included in the output, and caching is used to improve performance.
.PARAMETER SearchLocation
Distinnguished name (DN) of where to begin searching for user accounts; e.g. "OU=Information Technology,DC=fabrikam,DC=com". If you omit this parameter, the default is the current domain (e.g., "DC=fabrikam,DC=com").
.PARAMETER SearchScope
Specifies the scope for the Active Directory search. Must be one of the following values: Base (Limit the search to the base object, not used), OneLevel (Searches the immediate child objects of the base object), or Subtree (Searches the whole subtree, including the base object and all its child objects). The default value is Subtree. To search only a location but not its children, specify OneLevel.
.OUTPUTS
PSObjects containing the following properties:
DN The user's distinguished name
CN The user's common name
UserName The user's logon name
Disabled True if the user is disabled; false otherwise
Group The groups the user is a member of (one object per group)
#>
[CmdletBinding()]
param(
[parameter(Position=0,ValueFromPipeline=$TRUE)]
[String[]] $SearchLocation="",
[String][ValidateSet("Base","OneLevel","Subtree")] $SearchScope="Subtree"
)
begin {
$ADS_NAME_INITTYPE_GC = 3
$ADS_SETTYPE_DN = 4
$ADS_NAME_TYPE_1779 = 1
$ADS_NAME_TYPE_NT4 = 3
$ADS_UF_ACCOUNTDISABLE = 2
# Assume pipeline input if SearchLocation is unbound and doesn't exist.
$PIPELINEINPUT = (-not $PSBOUNDPARAMETERS.ContainsKey("SearchLocation")) -and (-not $SearchLocation)
# If -SearchLocation is a single-element array containing an emty string
# (i.e., -SearchLocation not specified and no pipeline), then populate with
# distinguished name of current domain. In this case, input is not coming
# from the pipeline.
if (($SearchLocation.Count -eq 1) -and ($SearchLocation[0] -eq "")) {
try {
$SearchLocation[0] = ([ADSI] "").distinguishedname[0]
}
catch [System.Management.Automation.RuntimeException] {
throw "Unable to retrieve the distinguished name for the current domain."
}
$PIPELINEINPUT = $FALSE
}
# These hash tables cache primary groups and group names for performance.
$PrimaryGroups = @{}
$Groups = @{}
# Create and initialize a NameTranslate object. If it fails, throw an error.
$NameTranslate = new-object -comobject "NameTranslate"
try {
[Void] $NameTranslate.GetType().InvokeMember("Init", "InvokeMethod", $NULL, $NameTranslate, ($ADS_NAME_INITTYPE_GC, $NULL))
}
catch [System.Management.Automation.MethodInvocationException] {
throw $_
}
# Create a Pathname object.
$Pathname = new-object -comobject "Pathname"
# Returns the last two elements of the DN using the Pathname object.
function get-rootname([String] $dn) {
[Void] $Pathname.GetType().InvokeMember("Set", "InvokeMethod", $NULL, $Pathname, ($dn, $ADS_SETTYPE_DN))
$numElements = $Pathname.GetType().InvokeMember("GetNumElements", "InvokeMethod", $NULL, $Pathname, $NULL)
$rootName = ""
($numElements - 2)..($numElements - 1) | foreach-object {
$element = $Pathname.GetType().InvokeMember("GetElement", "InvokeMethod", $NULL, $Pathname, $_)
if ($rootName -eq "") {
$rootName = $element
}
else {
$rootName += ",$element"
}
}
$rootName
}
# Returns an "escaped" copy of the specified DN using the Pathname object.
function get-escaped([String] $dn) {
[Void] $Pathname.GetType().InvokeMember("Set", "InvokeMethod", $NULL, $Pathname, ($dn, $ADS_SETTYPE_DN))
$numElements = $Pathname.GetType().InvokeMember("GetNumElements", "InvokeMethod", $NULL, $Pathname, $NULL)
$escapedDN = ""
for ($n = 0; $n -lt $numElements; $n++) {
$element = $Pathname.GetType().InvokeMember("GetElement", "InvokeMethod", $NULL, $Pathname, $n)
$escapedElement = $Pathname.GetType().InvokeMember("GetEscapedElement", "InvokeMethod", $NULL, $Pathname, (0, $element))
if ($escapedDN -eq "") {
$escapedDN = $escapedElement
}
else {
$escapedDN += ",$escapedElement"
}
}
$escapedDN
}
# Return the primary group name for a user. Algorithm taken from
# http://support.microsoft.com/kb/321360
function get-primarygroupname([String] $dn) {
# Pass DN of user to NameTranslate object.
[Void] $NameTranslate.GetType().InvokeMember("Set", "InvokeMethod", $NULL, $NameTranslate, ($ADS_NAME_TYPE_1779, $dn))
# Get NT4-style name of user from NameTranslate object.
$nt4Name = $NameTranslate.GetType().InvokeMember("Get", "InvokeMethod", $NULL, $NameTranslate, $ADS_NAME_TYPE_NT4)
# Bind to user using ADSI's WinNT provider and get primary group ID.
$user = [ADSI] "WinNT://$($nt4Name.Replace('', '/')),User"
$primaryGroupID = $user.primaryGroupID[0]
# Retrieve user's groups (primary group is included using WinNT).
$groupNames = $user.Groups() | foreach-object {
$_.GetType().InvokeMember("Name", "GetProperty", $NULL, $_, $NULL)
}
# Query string is sAMAccountName attribute for each group.
$queryFilter = "(|"
$groupNames | foreach-object { $queryFilter += "(sAMAccountName=$($_))" }
$queryFilter += ")"
# Build a DirectorySearcher object.
$searchRootDN = get-escaped (get-rootname $dn)
$searcher = [ADSISearcher] $queryFilter
$searcher.SearchRoot = [ADSI] "LDAP://$searchRootDN"
$searcher.PageSize = 128
$searcher.SearchScope = "Subtree"
[Void] $searcher.PropertiesToLoad.Add("samaccountname")
[Void] $searcher.PropertiesToLoad.Add("primarygrouptoken")
# Find the group whose primaryGroupToken attribute matches user's
# primaryGroupID attribute.
foreach ($searchResult in $searcher.FindAll()) {
$properties = $searchResult.Properties
if ($properties["primarygrouptoken"][0] -eq $primaryGroupID) {
$groupName = $properties["samaccountname"][0]
return $groupName
}
}
}
# Return a DN's sAMAccount name based on the distinguished name.
function get-samaccountname([String] $dn) {
# Pass DN of group to NameTranslate object.
[Void] $NameTranslate.GetType().InvokeMember("Set", "InvokeMethod", $NULL, $NameTranslate, ($ADS_NAME_TYPE_1779, $dn))
# Return the NT4-style name of the group without the domain name.
$nt4Name = $NameTranslate.GetType().InvokeMember("Get", "InvokeMethod", $NULL, $NameTranslate, $ADS_NAME_TYPE_NT4)
$nt4Name.Substring($nt4Name.IndexOf("") + 1)
}
function get-usersandgroups2($location) {
# Finds user objects.
$searcher = [ADSISearcher] "(&(objectCategory=User)(objectClass=User))"
$searcher.SearchRoot = [ADSI] "LDAP://$(get-escaped $location)"
# Setting the PageSize property prevents limiting of search results.
$searcher.PageSize = 128
$searcher.SearchScope = $SearchScope
# Specify which attributes to retrieve ([Void] prevents output).
[Void] $searcher.PropertiesToLoad.Add("distinguishedname")
[Void] $searcher.PropertiesToLoad.Add("cn")
[Void] $searcher.PropertiesToLoad.Add("samaccountname")
[Void] $searcher.PropertiesToLoad.Add("useraccountcontrol")
[Void] $searcher.PropertiesToLoad.Add("primarygroupid")
[Void] $searcher.PropertiesToLoad.Add("memberof")
# Sort results by CN attribute.
$searcher.Sort = new-object System.DirectoryServices.SortOption
$searcher.Sort.PropertyName = "cn"
foreach ($searchResult in $searcher.FindAll()) {
$properties = $searchResult.Properties
$dn = $properties["distinguishedname"][0]
write-progress "Get-UsersAndGroups" "Searching $location" -currentoperation $dn
$cn = $properties["cn"][0]
$userName = $properties["samaccountname"][0]
$disabled = ($properties["useraccountcontrol"][0] -band $ADS_UF_ACCOUNTDISABLE) -ne 0
# Create an ArrayList containing user's group memberships.
$memberOf = new-object System.Collections.ArrayList
$primaryGroupID = $properties["primarygroupid"][0]
# If primary group is already cached, add the name to the array;
# otherwise, find out the primary group name and cache it.
if ($PrimaryGroups.ContainsKey($primaryGroupID)) {
[Void] $memberOf.Add($PrimaryGroups[$primaryGroupID])
}
else {
$primaryGroupName = get-primarygroupname $dn
$PrimaryGroups.Add($primaryGroupID, $primaryGroupName)
[Void] $memberOf.Add($primaryGroupName)
}
# If the user's memberOf attribute is defined, find the group names.
if ($properties["memberof"]) {
foreach ($groupDN in $properties["memberof"]) {
# If the group name is aleady cached, add it to the array;
# otherwise, find out the group name and cache it.
if ($Groups.ContainsKey($groupDN)) {
[Void] $memberOf.Add($Groups[$groupDN])
}
else {
$groupName = get-samaccountname $groupDN
$Groups.Add($groupDN, $groupName)
[Void] $memberOf.Add($groupName)
}
}
}
# Sort the ArrayList and output one object per group.
$memberOf.Sort()
foreach ($groupName in $memberOf) {
$output = new-object PSObject
$output | add-member NoteProperty "DN" $dn
$output | add-member NoteProperty "CN" $cn
$output | add-member NoteProperty "UserName" $userName
$output | add-member NoteProperty "Disabled" $disabled
$output | add-member NoteProperty "Group" $groupName
$output
}
}
}
}
process {
if ($PIPELINEINPUT) {
get-usersandgroups2 $_
}
else {
$SearchLocation | foreach-object {
get-usersandgroups2 $_
}
}
}
via WindowsITPro
P.S. Для получения разнообразных отчетов по структуре и изменениям AD Вы можете воспользоваться NetWrix AD Change Reporter. Программа позволяет Вам быть в курсе изменений AD и при этом не требует от Вас утомительной работы с логами или ручной автоматизации посредством скриптов. Узнать больше о программе Вы сможете на сайте NetWrix
Я использую рабочий стол Windows XP в корпоративной среде. Как я могу узнать, к каким группам AD я принадлежу?
Ответы:
Попробуйте запустить gpresult /R
сводку RSoP или gpresult /V
подробный вывод из командной строки от имени администратора на компьютере. Это должно вывести что-то вроде этого:
C:Windowssystem32>gpresult /V
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Created On 2/10/2010 at 10:27:41 AM
RSOP data for OQMSupport01- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------
OS Configuration: Standalone Workstation
OS Version: 6.1.7600
Site Name: N/A
Roaming Profile: N/A
Local Profile: C:Users-
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
Group Policy was applied from: N/A
Group Policy slow link threshold: 500 kbps
Domain Name: OQMSUPPORT01
Domain Type: <Local Computer>
Applied Group Policy Objects
-----------------------------
N/A
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
System Mandatory Level
Everyone
Debugger Users
IIS_WPG
SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
BUILTINUsers
NT AUTHORITYSERVICE
CONSOLE LOGON
NT AUTHORITYAuthenticated Users
This Organization
BDESVC
BITS
CertPropSvc
EapHost
hkmsvc
IKEEXT
iphlpsvc
LanmanServer
MMCSS
MSiSCSI
RasAuto
RasMan
RemoteAccess
Schedule
SCPolicySvc
SENS
SessionEnv
SharedAccess
ShellHWDetection
wercplsupport
Winmgmt
wuauserv
LOCAL
BUILTINAdministrators
USER SETTINGS
--------------
Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
Group Policy was applied from: N/A
Group Policy slow link threshold: 500 kbps
Domain Name: OQMSupport01
Domain Type: <Local Computer>
The user is a part of the following security groups
---------------------------------------------------
None
Everyone
Debugger Users
HomeUsers
BUILTINAdministrators
BUILTINUsers
NT AUTHORITYINTERACTIVE
CONSOLE LOGON
NT AUTHORITYAuthenticated Users
This Organization
LOCAL
NTLM Authentication
High Mandatory Level
The user has the following security privileges
----------------------------------------------
Bypass traverse checking
Manage auditing and security log
Back up files and directories
Restore files and directories
Change the system time
Shut down the system
Force shutdown from a remote system
Take ownership of files or other objects
Debug programs
Modify firmware environment values
Profile system performance
Profile single process
Increase scheduling priority
Load and unload device drivers
Create a pagefile
Adjust memory quotas for a process
Remove computer from docking station
Perform volume maintenance tasks
Impersonate a client after authentication
Create global objects
Change the time zone
Create symbolic links
Increase a process working set
Или, если вы вошли в ОС Windows Server с помощью модуля ActiveDirectory PowerShell (или с ОС клиента с помощью средств удаленного администрирования сервера), попробуйте выполнить Get-ADPrincipalGroupMembership
командлет:
C:UsersusernameDocuments> Get-ADPrincipalGroupMembership username | Select name
name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales
использование
whoami /groups
Это должно не только перечислить группы безопасности, но и группы рассылки, если я правильно помню (и что также может быть полезно знать). Также заботится о вложенности, т. Е. Вы находитесь в группе A, которая находится в B, поэтому она показывает вам также, как и в B (снова я пытаюсь вспомнить детали здесь).
В Vista и Win7 изначально для XP вам, вероятно, понадобятся инструменты поддержки sp2 (что также потребовало бы наличия достаточных прав для их установки, конечно).
http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en
Я думаю, что вы можете написать в окне cmd:
net user USERNAME /domain
Замените USERNAME
на свое имя пользователя без префикса домена.
Пуск — Выполнить — CMD — GPRESULT / r достаточно -> вам не нужно отображать полный «/ v» для визуализации групповых принадлежностей в качестве клиента-пользователя в том, что касается AD (наверняка в Windows 7, но я не уверен насчет winxp)
Если у вас нет доступа к AD:
Пуск — Выполнить — CMD — GPRESULT / v
В конце вы увидите:
пользователь входит в следующие группы безопасности
Если вы ищете скорость, то gpresult имеет малое время … особенно, если применяется много GPO.
Просто запустите одно из следующего, одно для локальной группы, а другое для групп домена:
Local — ‘c: windows system32 net.exe localgroup’ + ‘имя проверяемой группы’
Домен — ‘c: windows system32 net.exe group / domain’ + ‘имя проверяемой группы’
Затем проанализируйте выходные данные для искомого имени пользователя, так как в результате появится список пользователей в этой группе. Надеюсь это поможет.
С полным уважением к ответу Грега Брея … если результат превышает размер экрана и вам нужно увидеть ВСЕ его, используйте команду handy redirect (pipe) : » >
«, чтобы записать результаты в файл.
Так что стало бы что-то вроде этого:
C:Windowssystem32>gpresult /V >c:group_details.txt
Get-ADGroup — это команда, которая возвращает список групп в Powershell. Для того что бы вывести список пользователей в группе есть другая команда Get-ADGroupMember и мы ее тоже рассмотрим. В этих командлетах есть один обязательный ключ. Для примера так мы выведем весь список групп AD в Powershell:
Get-ADGroup -Filter *
Примеры с Get-ADGroup Filter
Если мы хотим вывести, например, только список групп безопасности, то можно сделать это так:
Get-ADGroup -Filter {GroupCategory -eq "Security"}
GroupCategory — это свойство, а eq ищет точное соответствие. Операторы сравнения powershell разбирались тут.
Свойств, которые мы бы хотели вывести или сравнить достаточно много и что бы увидеть их все выполните:
Get-ADGroup -Filter * -Properties * | Get-Member -MemberType Properties
Можно делать сравнивание по нескольким значениям. Если я хочу получить группы созданные 20 дней назад, а так же что бы их тип был Distribution (группа распространения), мне следует сделать так:
$date = (Get-Date).AddDays(-20)
Get-ADGroup -Filter {(GroupCategory -eq "Distribution") -and (WhenCreated -gt $date)} -Properties *
Другие примеры рассматриваются дальше…
Получаем список пользователей группы в Powershell Get-ADGroup
Мы можем найти данные по группе указав только имя. В моем случае я ищу группу, где имя заканчивается на marketing:
Get-ADGroup -Filter {Name -like "*marketing"} -Properties Members | SELECT *
Где:
- Properties — расширяет список стандартных свойств. В нашем случае указываем, что нам нужно получить список пользователей группы в Powershell
- Select — в таком варианте команда выводит список всех свойств, а не только стандартный список
У нас есть и другой способ получить список пользователей группы — это через Get-ADGroupMember. Принцип такой же как и в предыдущих вариантах:
Get-ADGroup -Filter {Name -like "*marketing"} -Properties Members | Get-ADGroupMember
Разница этих двух вариантов в том, что в первом случае мы получаем укороченную информацию о пользователях, а во втором более подробный список.
Для получение пользователей можно сделать и так, но в этом варианте есть минус, что мы должны писать точное соответствие имени:
Get-ADGroupMember -Identity Marketing
В описании на сайте Microsoft пишут, что в нем появляется ошибка только в случае, если командлет возвращает более одной группы (в случае использования масок), но у меня так и не получилось это сделать. Вместо имени мы можем использовать SID и GUID.
Получение в Powershell групп пользователя
Обратная ситуация, когда мы хотим узнать в каких группах наш пользователь. Для этого тоже есть несколько вариантов. Первый — это через команду получения пользователей со свойством MemberOf:
Get-ADUser -Filter {Name -eq "Test User (0001)"} -Properties MemberOF
Если мы хотим узнать какую либо подробную информацию о группе сделайте так:
$groups = Get-ADUser -Filter {Name -eq "Test User (0001)"} -Properties MemberOF
$groups.MemberOF | Get-ADGroup
Мы можем найти группы пользователя и так:
Get-ADGroup -Filter * -Properties Member | where -Property Member -Like "*Test User (0001)*"
Но минус этого способа в том, что он будет выполняться дольше. Возможно это будет не заметно с 1000 пользователями, а вот с 50000 может.
…
Теги:
#powershell
#ad
СВЯЗАННЫЕ: учетные записи пользователей, группы, разрешения и их роль в общем доступе
Группа безопасности — это просто набор учетных записей пользователей. Права и разрешения назначаются группе, а затем эти права и разрешения предоставляются любой учетной записи, которая является членом группы. Членство в группах может определять доступ пользователя к файлам, папкам и даже системным настройкам. Вот как вы можете узнать, к каким группам принадлежит учетная запись пользователя Windows.
Используйте инструмент «Местные пользователи и группы» для быстрого просмотра
Если вы просто хотите быстро взглянуть на локальные группы, к которым принадлежит учетная запись пользователя, инструмент Local Users and Groups отлично справится с этой задачей. Обратите внимание, что для запуска этого инструмента вам необходимо войти в Windows с учетной записью, имеющей права администратора.
Нажмите Windows + R, введите «lusrmgr.msc» в поле «Выполнить» и нажмите Enter.
В окне «Локальные пользователи и группы» выберите папку «Пользователи», а затем дважды щелкните учетную запись пользователя, которую вы хотите просмотреть.
В окне свойств учетной записи пользователя перейдите на вкладку «Член». Эта вкладка показывает локальные группы, к которым принадлежит учетная запись пользователя, а также позволяет добавить учетную запись в другие группы.
Используйте PowerShell (или командную строку) для более подробного просмотра
Если вы хотите более детально рассмотреть членство в группе учетной записи, которая также включает скрытые системные группы, к которым принадлежит учетная запись, вам необходимо запустить PowerShell (или командную строку; обсуждаемая здесь команда работает аналогично) ,
Нажмите «Windows + X» и выберите «Windows PowerShell».
В командной строке введите следующую команду и нажмите Enter:
whoami / группы
К сожалению, в отличие от использования инструмента «Локальные пользователи и группы», который мы рассмотрели в предыдущем разделе, команда whoami не позволяет вам проверять группы на наличие какой-либо учетной записи, кроме той, с которой вы в данный момент вошли.