我正在寻找一种方法来查找与特定组关联的Windows登录信息。我正在尝试为只允许格式为:
的名称的工具添加权限DOMAIN\USER
DOMAIN\GROUP
我有一个我需要添加的活动目录格式的用户列表:
ou=group1;ou=group2;ou=group3
我尝试过添加DOMAIN \ Group1,但是我收到了“找不到用户”错误。
P.S。还应该注意我不是兰管理员
答案 0 :(得分:5)
以编程方式还是手动方式?
手动,我更喜欢AdExplorer,这是一个不错的Active Directory浏览器。您只需连接到您的域控制器,然后您就可以查找用户并查看所有详细信息。当然,您需要域控制器的权限,但不确定哪个。
以编程方式,这取决于你的语言。在.net上,System.DirectoryServices命名空间是您的朋友。 (遗憾的是,我在这里没有任何代码示例)
对于Active Directory,除了如何查询它之外我不是真正的专家,但这里有两个我觉得有用的链接:
http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm
http://en.wikipedia.org/wiki/Active_Directory(有关AD结构的一般内容)
答案 1 :(得分:3)
在计算机上以域管理员身份登录后,您需要转到Active Directory用户管理单元:
从这里,您可以展开域树并搜索(通过右键单击域名)。
您可能不需要特殊权限即可查看Active Directory域的内容,尤其是在您登录该域时。值得一试看你能走多远。
当您搜索某人时,您可以从视图中选择列 - >选择列。这可以帮助您搜索您要查找的人或组。
答案 2 :(得分:2)
您不需要域名管理员权限在活动目录中查找。默认情况下,任何(经过身份验证的?)用户都可以从目录中读取所需的信息。
如果不是这种情况,例如,计算机(也有相关帐户)无法验证其用户的帐户和密码。
您只需要更改目录内容的管理员权限。
我认为可以设置更多限制权限,但情况可能并非如此。
答案 3 :(得分:0)
OU是一个组织单位(有点像资源管理器中的子文件夹),而不是一个组,因此group1,2和3实际上不是组。
您正在寻找DN属性,也称为“distinguishedName”。一旦你拥有了DOMAIN \ DN,你就可以使用它。
编辑:对于群组,CN(公共名称)也可以使用。
Active Directory中的完整字符串通常如下所示:
CN =用户名,CN =用户,DC =域名,DC = COM
(可以更长或更短,但重要的是“ou”部分对于你想要实现的目标毫无价值。
答案 4 :(得分:0)
感谢adeel825&迈克尔斯图姆。
我的问题是,虽然我是一家大公司,无法以域管理员身份登录,也无法查看活动目录,所以我想我的解决方案是尝试获得该级别的访问权限。
答案 5 :(得分:0)
好吧,AdExplorer在你的本地工作站上运行(这就是我喜欢它的原因)并且我相信大多数用户无论如何都可以读取AD,因为这实际上是需要工作的东西,但我不确定。< / p>
答案 6 :(得分:0)
安装Windows Server CD上的“Windows支持工具”(CD 1,如果它是Windows 2003 R2)。如果你的CD / DVD驱动器是D:那么它将在D:\ Support \ Tools \ SuppTools.msi
这为您提供了一些额外的工具来“吸引”AD: LDP.EXE - 适合在AD中读取信息,但UI有点臭。 ADSI Edit - MMC.EXE的另一个管理单元,您可以浏览AD并获取您正在寻找的所有那些讨厌的AD属性。
您可以在本地工作站上安装这些工具,并从那里访问AD而无需域管理员权限。如果您可以登录到域,则至少可以查询/读取AD以获取此信息。