Вопрос: Как узнать, в каких группах AD я участвую?


Я использую рабочий стол Windows XP в корпоративной среде. Как узнать, к каким группам я принадлежу?


202
2018-02-10 16:44


Источник


Ну, это с точки зрения клиента / рабочего стола. Было бы довольно легко понять, есть ли у меня доступ к AD. - chris
@chirs, возможно, уточните в своем вопросе, что вы имеете в виду с точки зрения клиента в домене Windows. - heavyd


Ответы:


Попробуйте запустить gpresult /R для сводки RSoP или gpresult /V для подробного вывода из командной строки в качестве администратора на компьютере. Он должен выводить что-то вроде этого:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

Или, если вы вошли в ОС Windows Server с модулем PowerShell ActiveDirectory (или с клиентской ОС с помощью средств администрирования удаленного сервера), попробуйте Get-ADPrincipalGroupMembership командлет:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales

210
2018-02-10 17:31



По причинам, возможно, связанным с конфигурацией сети моего клиента, когда я использовал / v, я получил гигантскую стену с текстом группы, где-то где-то похоронен. Мне повезло больше gpresult /r, - Jake
Бит сложака, чтобы расколоть орех. WHOAMI - это путь вперед или NET USER <user> / domain, хотя это обрезает группы с длинными именами. - Simon Catlin
Мне пришлось использовать gpresult /r, NET USER только показывали первые 3 - 5 членов группы. - eddiegroves
Я читал этот вопрос каждый раз, когда получаю новую работу. На этот раз это пригодится! - Robino


использование

whoami /groups

Это должно не только отображать группы безопасности, но и группы рассылки, если я правильно помню (и которые также могут быть полезны для ознакомления). Также заботится о гнездовании, т. Е. Вы находитесь в группе A, которая находится в B, поэтому она показывает вас также в B (опять же я пытаюсь вспомнить подробности здесь).

В Vista и Win7 изначально для XP вам, вероятно, нужны инструменты поддержки sp2 (что также потребует наличия у вас достаточных привилегий для их установки). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en 


162
2018-02-10 17:47



Это было именно то, что мне нужно, спасибо - Chris Surfleet
Также у whoami / groups есть крайний случай, когда вы получаете неверную информацию. Видеть stackoverflow.com/questions/4051883/... - zumalifeguard


Я думаю, что вы можете написать в cmd-окне:

net user USERNAME /domain

Это работает, по крайней мере, для меня здесь.

замещать USERNAME с вашим собственным именем пользователя, без префикса домена.


34
2017-11-04 12:18



Потрясающие; это помогает мне не только видеть то, что у меня есть, но и то, что есть у других, что полезно, когда мне нужно выяснить, почему другие пользователи не имеют доступа к чему-либо. Отличная работа! - Question3CPO
Обязательно отложите это на будущее - переносите в powershell. - lunchmeat317
Просто комментарий, чтобы сказать спасибо, это намного проще, чем войти в сервер, чтобы проверять группы, а также другую полезную информацию. - Adam Dempsey


Start - Run - CMD - GPRESULT / r достаточно -> вам не нужно отображать полный «/ v», чтобы визуализировать содержимое группы как клиента-пользователя в отношении AD (в Windows 7, конечно, но я не уверен в winxp)


14
2018-04-02 08:36





Если у вас нет доступа к AD:

Start - Run - CMD - GPRESULT / v

В конце вы увидите: Пользователь является частью следующих групп безопасности


8
2018-02-10 17:09





Если вы ищете скорость, то gpresult - это особенно ... если много применений GPO.

Просто запустите одно из следующих: одно для локальной группы, а другое для групп домена: -

Местный - 'c: \ windows \ system32 \ net.exe localgroup' + 'имя группы для проверки'

Домен - 'c: \ windows \ system32 \ net.exe group / domain' + 'имя группы для проверки'

Затем проанализируйте вывод для имени пользователя, которое вы ищете, поскольку в результате будет отображаться список пользователей в этой группе. Надеюсь это поможет.


5
2017-07-18 18:27





С полным ответом на ответ Грега Брея ... если результат превышает размер экрана, и вам нужно увидеть ВСЕ его, используйте удобные команда перенаправления (pipe): ">", чтобы записать результаты в файл.

Так что это будет примерно так:

C:\Windows\system32>gpresult /V >c:\group_details.txt

1
2018-03-24 08:05



Законный комментарий ... который должен быть добавлен в качестве комментария к ответу, который вы даете. Это само по себе не квалифицируется как ответ. - SturdyErde