Início / server / Perguntas / 532106
Accepted
MacGyver
Asked: 2013-08-20 10:42:43 +0800 CST

Obter lista de grupos do AD dos quais um usuário é membro

  • 772

Suponha que eu tenha o ID de um usuário no Active Directory. Gostaria de obter uma lista de todos os grupos do AD dos quais esse usuário é atualmente membro. Como posso fazer isso na linha de comando do Windows?

Eu tentei o seguinte:

dsget user "DC=jxd123" -memberof

Erro:

dsquery failed:'-memberof' is an unknown parameter.
type dsquery /? for help.
windows

15 respostas

  1. Ou com o comando net user ...

    net user /domain username
    • 104

  2. Linha única, sem módulos necessários, usa o usuário logado atual $($env:username), é executado em outras máquinas Windows:

    (New-Object System.DirectoryServices.DirectorySearcher("(&(objectCategory=User)(samAccountName=$($env:username)))")).FindOne().GetDirectoryEntry().memberOf

    Qudos para este artigo vbs/powershell: http://technet.microsoft.com/en-us/library/ff730963.aspx

    • 61
  3. Best Answer

    Você pode fazer isso no PowerShell com bastante facilidade. Tenho certeza de que você também pode fazer isso com as ferramentas ds, mas elas são antigas e difíceis e o PowerShell deve ser usado para tudo o que é possível hoje em dia.

    Import-Module ActiveDirectory
(Get-ADUser userName –Properties MemberOf | Select-Object MemberOf).MemberOf

    Versão mais curta

    (Get-ADUser userName –Properties MemberOf).MemberOf
    • 47

  4. Se você precisar ver seus próprios grupos, há whoami /groups:

    Exibe os grupos de usuários aos quais o usuário atual pertence.

    A vantagem desse comando net user /domain usernameé que as associações de grupo implícitas também são exibidas com whoami.

    • 17

  5. Encontrei um bom recurso:

    http://social.technet.microsoft.com/wiki/contents/articles/2195.active-directory-dsquery-commands.aspx

    Veja como fazer isso no prompt de comando do Windows:

    dsquery user -samid jxd123 | dsget user -memberof | dsget group -samid
    • 12

  6. PowerShell:

    Get-ADPrincipalGroupMembership -Identity jdoe | Format-Table -Property name
    • 11

  7. Outra abordagem: um script do PowerShell que lista todas as associações de grupo implícitas do token de conta do Windows. Funciona em um sistema restrito.

    $token = [System.Security.Principal.WindowsIdentity]::GetCurrent() 
ForEach($group in $token.Groups){
    $group.Translate([System.Security.Principal.NTAccount])
}
    • 6 
  8. dsquery user -samid "user id" | dsget user -memberof > userid_memberof.txt
    • 3

  9. adfind é outra ótima ferramenta para esse tipo de coisa. É uma ferramenta gratuita do MVP Joe Richards

    http://www.joeware.net/freetools/tools/adfind/

    Você pode usar um dos atalhos

    adfind -sc u:username memberof
    • 2 
  10. $ADUser = Read-Host "Provide the AD User account"
Get-ADPrincipalGroupMembership -Identity $ADUser | Sort-Object name | Format-Table -Expand name
    • 2

relate perguntas