加入域的 Windows 10 计算机是否具有查询 AD/LDAP 的内置工具？

Windows 具有可供程序使用的ADSI接口，它支持一般的 LDAP 访问。

System.DirectoryServicesPowerShell 可以通过以下类型访问 ADSI ：

• [System.DirectoryServices.DirectoryEntry] 类型（别名为）表示一个特定的[ADSI]条目——当给定一个 LDAP 对象时，它的属性直接对应于 LDAP 条目的属性：

  $obj = [adsi] "LDAP://CN=foo,OU=bar,DC=example,DC=com"
  echo $obj.displayName
  $obj | fl *
  

  您无需指定服务器 - 默认情况下，Windows 将使用 AD 目录。（该LDAP://部分区分大小写；这是一个ADSI 绑定字符串，而不是 URL。）

• [System.DirectoryServices.DirectorySearcher] 类型（别名为[ADSISearcher]）表示一个 LDAP搜索查询，如果您还不知道，可以使用它来查找您的用户 DN ：

  $qry = [adsisearcher] "(sAMAccountName=stackprotector)"
  $qry.FindAll().Path
  

  从一些或其他 MSDN 文档页面复制的更详细的示例（在 AD 中，搜索anr伪属性是 GUI 工具解析名称的方式）：

  $qry = New-Object DirectoryServices.DirectorySearcher
  $qry.Filter = '(&(objectCategory=person)(anr=Stack))'
  $qry.SearchRoot = 'LDAP://OU=Laptops,OU=Computers,DC=contoso,DC=com'
  $qry.FindAll()
  

但是 ADSI 最初是一个 COM+ API，它早于 PowerShell 甚至一般的 .NET，所以微软当然有从 VBScript和ADODB使用它的示例（甚至从 ASP，这在这里没有帮助）。

您还应该能够安装和使用一些 RSAT 工具，而无需任何特殊权限（除了本地 Windows 管理员进行安装）。默认情况下，该目录对任何经过身份验证的客户端都是开放的。

您可以将第三方 LDAP 客户端与 AD 一起使用 - 域控制器将使用您的用户凭据接受身份验证，这是大多数 Windows GUI 工具首先在 AD 中查找数据的方式（仅某些任务需要机器加入帐户）。但是，最好使用支持通过 GSSAPI 或 GS​​S-SPNEGO 进行 Kerberos 身份验证的客户端，因为这样可以保证适用于任何 AD 设置。使用 NTLM 或“简单绑定”（密码身份验证）的工具可能会或可能不会工作，具体取决于域配置。

例如，SysInternals ADExplorer来自 Microsoft，无需安装即可工作。（当提示输入服务器详细信息时，将所有字段留空，然后单击“连接”。）

（从技术上讲，RSAT 工具“ADSIEdit”和“dsa.msc”可以在没有完全安装的情况下使用，甚至微软官方说明曾经说过“从 .cab 和 regsvr32 中提取这些文件”，但你确实需要 Windows 本地管理员访问该regsvr32部分。

从 user1686 的优秀答案中，我派生了以下行来显示当前登录的用户帐户的属性：

[adsi] ([adsisearcher] "(sAMAccountName=$env:USERNAME)").FindAll().Path | Format-List *