Запрос членов группы Active Directory

29339
Richie086

Таким образом, в активном каталоге есть группа WebSiteUsers, которая используется для разрешения доступа к папке, которую я размещаю через IIS. Мне было интересно (используя DSQuery, ADFind или любой свободно доступный инструмент), как сделать следующее:

  1. Как запросить отличительное имя WebSiteUsers (предположим, что оно похоронено в глубине нескольких подразделений в AD)?

  2. Как мне запросить у WebSiteUsers список пользователей (в удобочитаемом формате), который я могу сравнить с другой группой, чтобы убедиться, что все люди, которым нужен доступ к этому ресурсу, были добавлены? Предположим, что в этом примере к WebSiteUsers добавлено несколько тысяч учетных записей, поэтому визуальный осмотр невозможен. Я бы предпочел использовать Excel для сравнения списков пользователей, поэтому экспорт CSV или какого-либо текстового файла, которым я могу манипулировать в Excel, был бы идеальным.

3

1 ответ на вопрос

3
Tanner Faulkner

To find the DN run the command dsquery group -name WebSiteUsers

If you have a domain controller set up for PowerShell (you should; it's awesome) you can run the command $WebSiteUsers = Get-ADUser -Filter | foreach

Might not hurt to add a -WhatIf on the Add-ADGroupMember command to double check it's going to do what's intended.

You can also get this list using the Active Directory Users and Computer snap-in. You'll need RSAT installed to do this from your workstation, otherwise you can remote in to a domain controller and open it.

Right click on Saved Queries and select New, Query:

enter image description here

Give it an abitrary name and a short description, then click Define Query:

enter image description here

Under Find: select Custom Search. Click on Field and select User, Member Of

enter image description here

Enter the name of the group you'd like to include and click Add:

enter image description here

Now you can view this list in ADUC. To export it, click the Export List button. This will output to a tab delimited text file.

enter image description here

Спасибо, что напомнили мне об этой функциональности! Будучи пользователем Linux, я всегда ищу способы сделать что-то в командной строке (даже в Windows). Полностью забыл, что это был вариант. Richie086 10 лет назад 0
Я думаю, что это намного проще в командной строке, даже в Windows. Не уверен, что ваша среда настроена для PowerShell. Tanner Faulkner 10 лет назад 0
Вам нужно будет либо импортировать модуль AD в базовую командную оболочку Powershell, либо в разделе «Инструменты администрирования» меню «Пуск» найти модуль Active Directory для Powershell и открыть его. (Я считаю, что вам нужно запустить их обоих от имени администратора.) Davidw 10 лет назад 1

Похожие вопросы