Wie kann ich herausfinden, bei welchen AD-Gruppen ich Mitglied bin?

231

Ich verwende einen Windows XP-Desktop in einer Unternehmensumgebung. Wie kann ich herausfinden, welchen AD-Gruppen ich angehöre?

active-directory windows-xp chris
quelle
4
Nun, es ist aus Client / Desktop-Sicht. Es wäre ziemlich einfach herauszufinden, ob ich Zugang zu AD hatte.
Chris
@chirs, stellen Sie in Ihrer Frage vielleicht klar, dass Sie das aus der Sicht eines Clients in einer Windows-Domäne meinen.
Heavyd

Antworten:

237

Versuchen Sie, als Administrator auf dem Computer eine gpresult /RRSOP-Zusammenfassung oder gpresult /Veine ausführliche Ausgabe über die Befehlszeile abzurufen . Es sollte ungefähr so ​​aussehen:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

Wenn Sie bei einem Windows Server-Betriebssystem mit dem ActiveDirectory PowerShell-Modul (oder Client-Betriebssystem mit den Get-ADPrincipalGroupMembershipRemoteserver- Verwaltungstools) angemeldet sind, versuchen Sie das Cmdlet:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales
Greg Bray
quelle
34
Aus Gründen, die wahrscheinlich mit der Konfiguration des Client-Netzwerks zusammenhängen, erhielt ich bei der Verwendung von / v eine riesige Textwand mit der Gruppenliste, die irgendwo darin vergraben war. Ich hatte viel besseres Glück mit gpresult /r.
Jake
15
Ein bisschen wie ein Vorschlaghammer, um eine Nuss zu knacken. WHOAMI ist der richtige Weg oder NET USER <Benutzer> / Domäne, obwohl dadurch Gruppen mit langen Namen abgeschnitten werden.
Simon Catlin
2
Ich musste verwenden gpresult /r. NET USEREs werden nur die ersten 3 - 5 Gruppenmitgliedschaften angezeigt.
Eddiegroves
Ich lese diese Frage jedes Mal, wenn ich einen neuen Job bekomme. Diesmal ist es beliebt!
Robino
179

Verwenden

whoami /groups

Dies sollte nicht nur Sicherheitsgruppen, sondern auch Verteilergruppen auflisten, wenn ich mich richtig erinnere (und das könnte auch nützlich sein zu wissen). Kümmert sich auch um das Verschachteln, dh Sie befinden sich in Gruppe A, die sich in B befindet, so dass es Sie wie auch in B anzeigt (wieder versuche ich, mich an die Details hier zu erinnern).

Unter Vista und Win7 benötigen Sie für XP wahrscheinlich die SP2-Supporttools (für deren Installation Sie natürlich auch über ausreichende Berechtigungen verfügen müssten). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=de

AdamV
quelle
Auch whoami / groups hat einen Randfall, in dem Sie die falschen Informationen erhalten. Siehe stackoverflow.com/questions/4051883/…
zumalifeguard
43

Ich denke, Sie können in einem Cmd-Fenster schreiben:

net user USERNAME /domain

Ersetzen Sie USERNAMEdurch Ihren eigenen Benutzernamen ohne Domain-Präfix.

Patrik Lindström
quelle
2
Genial; Dies hilft mir nicht nur zu sehen, was ich habe, sondern auch, was andere haben. Dies ist nützlich, wenn ich sehen möchte, warum andere Benutzer keinen Zugriff auf etwas haben. Ausgezeichnete Arbeit!
Question3CPO
Wird definitiv dieses für die Zukunft ablegen - überträgt sich auch auf Powershell.
lunchmeat317,
Nur ein Kommentar, um sich zu bedanken. Dies ist viel einfacher, als sich beim Server anzumelden, um Gruppen zu überprüfen, und einige andere nützliche Informationen.
Adam Dempsey
16

Start - Ausführen - CMD - GPRESULT / r ist ausreichend -> Sie müssen nicht das vollständige "/ v" anzeigen, um Gruppenzugehörigkeiten als Client - Benutzer in Bezug auf AD anzuzeigen (unter Windows 7 sicher, aber ich bin mir nicht sicher über winxp)

Wojtek Krotoszynski
quelle
9

Wenn Sie keinen Zugriff auf AD haben:

Start - Ausführen - CMD - GPRESULT / v

Sie sehen am Ende: Der Benutzer ist Teil der folgenden Sicherheitsgruppen

r0ca
quelle
6

Wenn Sie Geschwindigkeit suchen, ist gpresult langsam, besonders wenn viele GPOs angewendet werden.

Führen Sie einfach eine der folgenden Aktionen aus, eine für die lokale Gruppe und die andere für Domänengruppen:

Lokal - 'c: \ windows \ system32 \ net.exe localgroup' + 'Name der zu überprüfenden Gruppe'

Domäne - 'c: \ windows \ system32 \ net.exe Gruppe / Domäne' + 'Name der zu überprüfenden Gruppe'

Analysieren Sie dann die Ausgabe für den gesuchten Benutzernamen, um eine Liste der Benutzer in dieser Gruppe zu erhalten. Hoffe das hilft.

user1673554
quelle
2

Mit voller Anerkennung für Greg Brays Antwort ... Wenn das Ergebnis die Bildschirmgröße überschreitet und Sie ALLES sehen müssen, verwenden Sie den praktischen Umleitungsbefehl : " >", um die Ergebnisse in die Datei zu schreiben.

So würde es ungefähr so ​​werden:

C:\Windows\system32>gpresult /V >c:\group_details.txt
user919426
quelle
2
Ein legitimer Kommentar ... der als Kommentar zu der Antwort hinzugefügt werden sollte, der Sie die Ehre erweisen. Dies ist für sich genommen keine Antwort.
SturdyErde