Auflisten der Benutzer und Gruppen einer AD-Sicherheitsgruppe, wenn Sie kein Domänenadministrator sind

58

Ich bin unter Windows 8 mit der Domain verbunden.

Ich möchte die Benutzer und Gruppen einer AD Security-Gruppe anzeigen. Ich bin nicht der Besitzer der Gruppe. Der Befehl:

net group /domain TheGroupName

Zeigt die direkten Benutzer dieser Gruppe an , jedoch nicht die Gruppen innerhalb der Gruppe.

Als Alternative zu Windows 8 habe ich auch Remotezugriff auf einen Windows Server 2008 R2 und bin ein Administrator für diesen Computer, aber kein Administrator für die Domäne. Das Programm "dsget" scheint nicht installiert zu sein.

Diese Frage erweitert sich auf diese (511715)

windows active-directory user-groups crokusek
quelle
Wenn Sie eine bessere Antwort auf eine bereits vorhandene Frage wünschen. Das richtige Verfahren besteht darin, dieser bestehenden Frage ein Kopfgeld anzubieten.
Ramhound
1
Diese Frage wurde nach und nach beantwortet. Dies ist eine neue, aber sehr verwandte Frage.
Crokusek
Warum sollten Sie Ihrer Meinung nach Zugriff auf die Liste der Benutzer und Gruppen haben, wenn Sie kein Domänenadministrator sind (oder über die entsprechende spezielle Berechtigung für Ihr Domänenkonto verfügen, unabhängig davon, was dies sein mag)? Mir erscheint das Gegenteil intuitiv.
ein Lebenslauf vom
Dieser Befehl funktioniert jetzt für mich und soweit ich weiß, bin ich kein Domain-Administrator. Wollen Sie damit sagen, dass ich sein muss? Ich glaube auch nicht, dass ich der Eigentümer der Gruppe bin.
Crokusek
1
Mit der Funktion "Active Directory durchsuchen" unter "Arbeitsplatz" -> "Netzwerk" können Sie ohne besondere Berechtigungen Gruppen und grundlegende Benutzerinformationen anzeigen.
Abraxas

Antworten:

75

Gehen Sie zu "Computer", klicken Sie im linken Menü auf "Netzwerk" und wählen Sie in der oberen Leiste "Active Directory durchsuchen".

Sie sollten in der Lage sein, nach Gruppen zu suchen und die Mitgliedschaft hier anzuzeigen, auch wenn Sie kein Administrator sind.

Zugriff auf "Active Directory durchsuchen"

Abraxas
quelle
3
"So einfach kann es ein Nicht-Domain-Administrator machen." Ich habe nicht bemerkt, dass "Computer" im Explorer oder "Alt-Q-Netzwerk" gemeint ist. Kann sogar einen Doppelklick ausführen, um einen Drilldown durchzuführen. Vielen Dank. Weiß nicht, warum dies keine Antwort auf die verknüpfte Frage war, weil es nur für Windows 8 ist?
Crokusek
1
Dieser Dialog ist schon immer da. IIRC Windows 2000 enthält es auch.
Daniel B
12
Befehlszeilenäquivalent (oder Ausführen):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow
Trisped
2
Wo ist das Äquivalent in Windows 10?
Flickerfly
2
@flickerfly in W10, klicken Sie einfach oben im Fenster auf Netzwerk (File Network View) und Sie sehen die Sache "Active Directory durchsuchen". scheint, dass "ribbon" (heißt es so?) standardmäßig ausgeblendet ist. Ich habe eine weitere Antwort mit einer einfacheren Methode zum Aufrufen dieses Programms hinzugefügt, und ich habe jetzt eine praktische Verknüpfung zu diesem Befehl.
Razvan Zoitanu
31

Führen Sie dies an einer Eingabeaufforderung aus, um die vollständige Mitgliedschaft einer AD-Gruppe (Benutzer UND Gruppen) abzurufen. Getestet unter Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

Dort gibt es eine praktische Registerkarte "Erweitert", die die teilweise Suche nach Zeichenfolgen unterstützt (beginnend mit, endend mit).

Razvan Zoitanu
quelle
1
Funktioniert auch unter Windows 7. Prost.
Xhafan
Weniger Klicks, gleiche Ergebnisse +1
Randolph
Hervorragende Antwort, direkt auf den Punkt.
Amarnasan
1
Um dies zugänglicher zu machen: Fügen Sie einen "Start" voran, setzen Sie diesen userq.batin system32. Öffnen Sie dann den Dialog über den Run-Dialog (WINDOWS + R) und userq.
Panki
8

Sysinternals bietet AD Explorer an , ein Dienstprogramm zum Auflisten der vollständigen LDAP-Struktur einer AD-Gesamtstruktur. Es ist jedoch ein geringfügiger Overkill für Ihre beabsichtigte Verwendung.

Ich weiß nicht genau, welche Berechtigungen für die Abfrage dieser Daten erforderlich sind, aber ich denke, jeder angemeldete Benutzer kann dies tun. Ich hatte nie Probleme, so ziemlich alles abzufragen, aber vielleicht ist die Domain bei der Arbeit nicht richtig gesichert.

Hinweis zur Benutzerfreundlichkeit: Sie müssen Ihre Anmeldeinformationen nicht eingeben, wenn Sie als Domänenbenutzer angemeldet sind.

Sie benötigen jedoch die IP-Adresse oder den Hostnamen eines Domänencontrollers. Dies ist wahrscheinlich derselbe wie Ihr DNS-Server. Starten Sie einfach nslookupund probieren Sie die dort angezeigte Adresse aus.

Daniel B
quelle
2
Sie können eine Eingabeaufforderung öffnen und "echo% LOGONSERVER%" ausführen, um den AD-Server anzuzeigen, auf dem sich der Computer authentifiziert hat. Darüber hinaus sollten Sie "nslookup my.domain.name" ausführen können, um alle AD-Server aufzulisten. Wenn Sie sich also mit "mydomain \ myuser" anmelden, versuchen Sie es mit "nslookup mydomain"
nijave