Início / server / Perguntas / 1163944
Accepted
Matthias Schuchardt
Asked: 2024-08-16 01:32:15 +0800 CST

Nem "net" nem "whoami" mostram grupos de distribuição

  • 772

Minha conta do Windows myUseré membro de um grupo de distribuição do Active Directory myGroup. Eu verifiquei isso por meio deste comando do PowerShell.

(Get-ADUser myUser -Properties MemberOf | select MemberOf).MemberOf `
| Get-ADGroup `
| Select -ExpandProperty Name

No entanto, nenhum dos comandos a seguir exibe este grupo AD.

  1. whoami /groups
  2. net user myUser /domain
  3. net group | findstr myGroup
  4. gpresult /r | findstr myGroup

Embora gpresult /ros documentos mostrem apenas grupos de segurança e não grupos de distribuição, este parece ser um comportamento não documentado para net.exeor whoami.exe.

É verdade que nem netpode whoamimostrar grupos de distribuição? Ou outra propriedade do grupo é o motivo pelo qual ele não é exibido?

Estou ciente de que isso não pode ser verificado para meu grupo concreto, mas esperava que alguém soubesse disso ou pudesse verificar novamente com um grupo de distribuição em sua rede.

active-directory

1 respostas

  1. Best Answer

    whoamimostra especificamente grupos que fazem parte do token de segurança do processo. Esse é o seu propósito – ele não faz uma pesquisa de diretório como o Get-AD faz, mas apenas despeja o que seu próprio processo possui no momento.

    (Por exemplo, se as associações ao AD fossem atualizadas, seus processos ainda teriam o token antigo e o whoami também mostraria as informações antigas que foram estabelecidas no momento do logon.)

    Grupos de distribuição, por definição, são grupos que não vão no token de segurança do processo – eles não têm SID e existem apenas como objetos LDAP (para uso por programas que precisam de grupos LDAP sem sobrecarregar o token de segurança do usuário, que é de tamanho limitado , assim como os tickets Kerberos) – portanto, eles são invisíveis para 'whoami'.

    As políticas de grupo são aplicadas usando ACLs de segurança de arquivos, portanto, elas (e gpresult) dependem do mesmo token de processo que 'whoami'.

    Quanto a net, é um comando anterior ao AD e é da era do "domínio WinNT" e, se bem me lembro, os grupos de distribuição não existiam nos domínios NT4 e, portanto, são invisíveis para as APIs legadas que netutiliza. (Acho que eles se originam do Exchange, que mais tarde evoluiu para o AD?)

    • 1

relate perguntas