บรรทัดคำสั่งเพื่อแสดงผู้ใช้ในกลุ่ม Windows Active Directory หรือไม่

มีวิธีบรรทัดคำสั่งเพื่อแสดงรายการผู้ใช้ทั้งหมดในกลุ่ม Active Directory เฉพาะหรือไม่

ฉันสามารถดูว่าใครอยู่ในกลุ่มโดยไปที่จัดการคอมพิวเตอร์ -> ผู้ใช้ภายใน / กลุ่ม -> กลุ่มและดับเบิลคลิกที่กลุ่ม

ฉันแค่ต้องการบรรทัดคำสั่งเพื่อดึงข้อมูลเพื่อให้ฉันสามารถทำงานอัตโนมัติอื่น ๆ ได้

ลอง

dsget group "CN=GroupName,DC=domain,DC=name,DC=com" -members

ต่อไปนี้เป็นอีกวิธีหนึ่งจากพรอมต์คำสั่งไม่แน่ใจว่าเป็นไปโดยอัตโนมัติอย่างไรเนื่องจากคุณต้องแยกวิเคราะห์เอาต์พุต:

หากกลุ่มคือ "กลุ่มความปลอดภัยระดับโลก":

net group <your_groupname> /domain

หากคุณกำลังมองหา "กลุ่มความปลอดภัยท้องถิ่นของโดเมน":

net localgroup <your_groupname> /domain

นี่เป็นเวอร์ชันของคำสั่ง ds ที่ฉันพบว่ามีประโยชน์มากกว่าโดยเฉพาะถ้าคุณมีโครงสร้าง OU ที่ซับซ้อนและไม่จำเป็นต้องรู้ชื่อที่แตกต่างแบบเต็มของกลุ่ม

dsquery group -samid "Group_SAM_Account_Name" | dsget group -members -expand

หรือถ้าคุณรู้จัก CN ของกลุ่มโดยปกติจะเหมือนกับ SAM ID ที่ยกมาในกรณีที่มีช่องว่างในชื่อ:

dsquery group -name "Group Account Name" | dsget group -members -expand

ตามที่ระบุไว้ในความคิดเห็นโดยค่าเริ่มต้นคำสั่ง ds * (dsquery, dsget, dsadd, dsrm) จะใช้ได้เฉพาะในตัวควบคุมโดเมน อย่างไรก็ตามคุณสามารถติดตั้งชุดเครื่องมือผู้ดูแลระบบจากเครื่องมือสนับสนุนบนสื่อการติดตั้ง Windows Server หรือดาวน์โหลดได้จากเว็บไซต์ดาวน์โหลดของ Microsoft

คุณสามารถทำการค้นหาเหล่านี้ได้โดยใช้ PowerShell PowerShell มีอยู่แล้วเป็นคุณสมบัติที่ติดตั้งได้สำหรับ Server 2008, 2008 R2 และ Windows 7 แต่คุณจะต้องดาวน์โหลด WinRM Frameworkเพื่อติดตั้งลงบน XP หรือ Vista

ได้รับการเข้าถึง cmdlets AD-ที่เฉพาะเจาะจงใด ๆ ใน PowerShell คุณจะยังจำเป็นต้องดำเนินการอย่างน้อยหนึ่งของการติดตั้งต่อไปนี้:

• สำหรับ Win 7 และลูกค้า 2008 R2 คุณสามารถติดตั้งเครื่องมือผู้ดูแลระบบเซิร์ฟเวอร์ระยะไกล RSAT ยังต้องว่าคุณได้ติดตั้งของ Active Directory Web Services มีบนServer 2008 R2ควบคุมโดเมนหรือบริการเกตเวย์ของ Active Directory จัดการสำหรับเซิร์ฟเวอร์ 2003/2008 พล
• สำหรับ XP ใด ๆ หรือลูกค้าที่สูงขึ้น, ดาวน์โหลดและติดตั้งเชลล์การจัดการเควส ActiveRoles สำหรับ Active Directory เครื่องมือ Quest ไม่ต้องการการเปลี่ยนแปลงเพิ่มเติมใด ๆ ใน DC ของคุณ

สำหรับโซลูชัน PowerShell ที่ไม่ต้องใช้ Add-in ของ Quest AD ให้ลองทำดังต่อไปนี้

Import-Module ActiveDirectory

Get-ADGroupMember "Domain Admins" -recursive | Select-Object name

สิ่งนี้จะระบุกลุ่มที่ซ้อนกันเช่นกัน หากคุณไม่ต้องการทำเช่นนั้นให้ถอดสวิตช์-recursive

วิธีที่ง่ายมากที่ทำงานบนเซิร์ฟเวอร์และลูกค้า:

NET GROUP "YOURGROUPNAME" /DOMAIN | find /I /C "%USERNAME%"

ส่งคืน 1 หากผู้ใช้อยู่ในกลุ่ม YOURGROUPNAME มิฉะนั้นจะส่งคืน 0

จากนั้นคุณสามารถใช้ค่า% ERRORLEVEL% (0 ถ้าผู้ใช้ในกลุ่ม 1 ถ้าไม่) ชอบ

IF %ERRORLEVEL%==0 NET USE %LOGONSERVER%\YOURGROUPSHARE

การใช้ PowerShell และ Quest Software ของเชลล์การจัดการ ActiveRoles ฟรีสำหรับ Active Directory คุณสามารถใช้:

(รับ -QADGroup "GroupName") สมาชิก

http://www.quest.com/powershell/activeroles-server.aspx

คำตอบที่ใช้ที่นี่dsgetและdsqueryจะทำงานเฉพาะกับ Windows รุ่นเซิร์ฟเวอร์เนื่องจากคำสั่งเหล่านั้นไม่ได้จัดส่งใน Windows รุ่นอื่น (เช่น Windows 7) บนเครื่องโดยไม่ต้องคำสั่งเหล่านั้นคุณจะได้รับข้อมูลที่คุณต้องการโดยใช้คำสั่ง adfind

นี่คือตัวอย่างแบบสอบถามสำหรับการเป็นสมาชิกกลุ่ม:

AdFind.exe -default -f name="Domain Admins" member -list

วิธีแสดงรายการกลุ่มท้องถิ่นและผู้ใช้

ใช้สคริปต์ powershell ต่อไปนี้เพื่อแสดงรายการกลุ่มโลคัลและสมาชิกของกลุ่มเหล่านั้น

$server="YourServerName"
$computer = [ADSI]"WinNT://$server,computer"

$computer.psbase.children | where { 

$_.psbase.schemaClassName -eq 'group' } | foreach {
    write-host $_.name
    write-host "------"
    $group =[ADSI]$_.psbase.Path
    $group.psbase.Invoke("Members") | foreach {
$_.GetType().InvokeMember("Name", 'GetProperty', 

$null, $_, $null)}
    write-host
}

คัดลอกข้อความข้างต้นใน Notepad filename.ps1และบันทึกเป็น จากนั้นเรียกใช้ไฟล์ ฉันควรแสดงกลุ่มและผู้ใช้ในแต่ละกลุ่มหรือคุณสามารถเรียกใช้จาก PowerShell

สำหรับสมาชิกแสดงUserGroup1ลอง:

dsquery group -name UserGroup1 | dsget group -members | dsget user -display