我正在寻找一种方法来查找与特定组关联的 Windows 登录名。我正在尝试将权限添加到只允许名称格式如下的工具:
DOMAIN\USER
DOMAIN\GROUP
我有一个需要添加的活动目录格式的用户列表:
ou=group1;ou=group2;ou=group3
我尝试添加 DOMAIN\Group1,但出现“未找到用户”错误。
附:还要注意的是我不是局域网管理员
【问题讨论】:
标签: windows active-directory active-directory-group
以编程方式还是手动方式?
手动,我更喜欢AdExplorer,这是一个不错的活动目录浏览器。您只需连接到您的域控制器,然后您就可以查找用户并查看所有详细信息。当然,您需要域控制器的权限,但不确定是哪个。
以编程方式,这取决于您的语言。在 .net 上,System.DirectoryServices 命名空间是您的朋友。 (不幸的是,我这里没有任何代码示例)
对于 Active Directory,除了如何查询之外,我并不是真正的专家,但这里有两个我发现有用的链接:
http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm
http://en.wikipedia.org/wiki/Active_Directory(关于 AD 结构的一般资料)
【讨论】:
在机器上以域管理员身份登录后,您需要转到 Active Directory 用户管理单元:
从这里您可以展开域树并搜索(通过右键单击域名)。
您可能不需要特殊权限即可查看 Active Directory 域的内容,尤其是在您登录该域的情况下。值得一试,看看你能走多远。
当您搜索某人时,您可以从视图中选择列 --> 选择列。这应该可以帮助您搜索您正在寻找的人或组。
【讨论】:
您不需要域管理员权限即可查看活动目录。默认情况下,任何(经过身份验证的?)用户都可以从目录中读取您需要的信息。
如果不是这样,例如,计算机(也有关联的帐户)无法验证其用户的帐户和密码。
您只需要管理员权限即可更改目录的内容。
我认为可以设置更多受限权限,但不太可能。
【讨论】:
OU 是一个组织单位(有点像 Explorer 中的子文件夹),而不是组,因此 group1、2 和 3 实际上不是组。
您正在寻找 DN 属性,也称为“distinguishedName”。一旦你有了它,你就可以简单地使用 DOMAIN\DN。
编辑:对于组,CN(通用名称)也可以工作。
来自 Active Directory 的完整字符串通常如下所示:
cn=用户名,cn=用户,dc=域名,dc=com
(可以更长或更短,但重要的是“ou”部分对于您想要实现的目标毫无价值。
【讨论】:
嗯,AdExplorer 在您的本地工作站上运行(这就是我喜欢它的原因),我相信大多数用户无论如何都具有对 AD 的读取权限,因为这实际上是工作所需的,但我不确定。
【讨论】:
安装 Windows Server CD(如果是 Windows 2003 R2,则为 CD 1)上的“Windows 支持工具”。如果您的 CD/DVD 驱动器是 D:,那么它将位于 D:\Support\Tools\SuppTools.msi
这为您提供了一些额外的工具来“了解”广告: LDP.EXE - 适合阅读 AD 中的信息,但 UI 有点臭。 ADSI Edit - MMC.EXE 的另一个管理单元,您可以使用它浏览 AD 并获取您正在寻找的所有那些讨厌的 AD 属性。
您可以在本地工作站上安装这些工具并从那里访问 AD,而无需域管理员权限。如果你可以登录域,你至少可以查询/读取广告以获取此信息。
【讨论】:
感谢 adeel825 和迈克尔·斯图姆。
不过,我的问题是,我在一家大公司工作,无权以域管理员身份登录,也无权查看活动目录,所以我想我的解决方案是尝试获得该级别的访问权限。
【讨论】: