Linha de comando para listar usuários em um grupo do Windows Active Directory?

Aqui está outra maneira do prompt de comando, mas não tenho certeza de quão automatizável, pois você teria que analisar a saída:

Se o grupo for "grupo de segurança global":

net group <your_groupname> /domain

Se você estiver procurando por "grupo de segurança local do domínio":

net localgroup <your_groupname> /domain

Aqui está uma versão do comando ds que achei mais útil, especialmente se você tiver uma estrutura de UO complexa e não souber necessariamente o nome distinto completo do grupo.

dsquery group -samid "Group_SAM_Account_Name" | dsget group -members -expand

ou se você conhece o CN do grupo, geralmente o mesmo que o SAM ID, citado caso haja espaços no nome:

dsquery group -name "Group Account Name" | dsget group -members -expand

Conforme declarado nos comentários, por padrão os comandos ds* (dsquery, dsget, dsadd, dsrm) estão disponíveis apenas em um controlador de domínio. No entanto, você pode instalar o pacote de ferramentas de administração das ferramentas de suporte na mídia de instalação do Windows Server ou baixá-lo do site de download da Microsoft.

Você também pode realizar essas consultas usando o PowerShell. O PowerShell já está disponível como um recurso instalável para Server 2008, 2008 R2 e Windows 7, mas você precisará baixar o WinRM Framework para instalá-lo no XP ou Vista.

Para obter acesso a qualquer cmdlets específicos do AD no PowerShell, você TAMBÉM precisará realizar pelo menos uma das seguintes instalações:

• Para clientes Win 7 e 2008 R2, você pode instalar o Remote Server Admin Tools . O RSAT também requer que você tenha instalado o recurso Active Directory Web Services em seus controladores de domínio Server 2008 R2 ou o Active Directory Management Gateway Service para qualquer DC Server 2003/2008 .
• Para qualquer cliente XP ou superior, baixe e instale o Quest ActiveRoles Management Shell para Active Directory . As ferramentas da Quest não exigem nenhuma alteração adicional em seus DCs.

tentar

dsget group "CN=GroupName,DC=domain,DC=name,DC=com" -members

Para uma solução do PowerShell que não requer o suplemento Quest AD, tente o seguinte

Import-Module ActiveDirectory

Get-ADGroupMember "Domain Admins" -recursive | Select-Object name

Isso enumerará os grupos aninhados também. Se você não quiser fazer isso, remova a opção -recursive .

Uma maneira muito fácil que funciona em servidores e clientes:

NET GROUP "YOURGROUPNAME" /DOMAIN | find /I /C "%USERNAME%"

Retorna 1 se o usuário estiver no grupo YOURGROUPNAME, senão retornará 0

Você pode então usar o valor %ERRORLEVEL% (0 se usuário no grupo, 1 se não) como

IF %ERRORLEVEL%==0 NET USE %LOGONSERVER%\YOURGROUPSHARE

Usando o Shell de gerenciamento de ActiveRoles gratuito do PowerShell e da Quest Software para Active Directory, você pode usar:

(Get-QADGroup "GroupName").Membros

http://www.quest.com/powershell/activeroles-server.aspx

As respostas aqui usando dsgete dsquerysó funcionarão em versões de servidor do Windows, pois esses comandos não são enviados em outras versões do Windows (por exemplo, Windows 7). Em máquinas sem esses comandos, você pode obter as informações desejadas usando o comando AdFind .

Aqui está um exemplo de consulta para obter associação ao grupo:

AdFind.exe -default -f name="Domain Admins" member -list

Para membros de exibição do UserGroup1try:

dsquery group -name UserGroup1 | dsget group -members | dsget user -display

Como listar grupos e usuários locais?

Use o script powershell a seguir para listar os grupos locais e os membros desses grupos.

$server="YourServerName"
$computer = [ADSI]"WinNT://$server,computer"

$computer.psbase.children | where { 

$_.psbase.schemaClassName -eq 'group' } | foreach {
    write-host $_.name
    write-host "------"
    $group =[ADSI]$_.psbase.Path
    $group.psbase.Invoke("Members") | foreach {
$_.GetType().InvokeMember("Name", 'GetProperty', 

$null, $_, $null)}
    write-host
}

Copie o texto acima no bloco de notas e salve como filename.ps1. Em seguida, execute o arquivo. Eu deveria exibir os grupos e usuários em cada grupo, ou você pode simplesmente executar isso no powershell.