Windows / Active Directory - Пользователь / Группы

Я ищу способ найти вход в Windows, связанный с определенной группой. Я пытаюсь добавить разрешения для инструмента, который позволяет только имена, отформатированные как:

DOMAIN\USER 
DOMAIN\GROUP

У меня есть список пользователей в формате активного каталога, который мне нужно добавить:

ou=group1;ou=group2;ou=group3

Я попытался добавить DOMAIN \ Group1, но я получаю сообщение об ошибке «пользователь не найден».

PS также следует отметить, что я не администратор Lan

22.08.2008 21:54:34
7 ОТВЕТОВ

OU - это организационная единица (вроде подпапки в проводнике), а не группа, следовательно, группы 1, 2 и 3 на самом деле не являются группами.

Вы ищете атрибут DN, также называемый «отличительное имя». Вы можете просто использовать DOMAIN \ DN, если у вас есть это.

Изменить: Для групп, CN (общее имя) также может работать.

Полная строка из Active Directory обычно выглядит так:

сп = Имя пользователя, сп = Users, DC = имя_домена, DC = COM

(Может быть длиннее или короче, но важным моментом является то, что часть «оу» ничего не стоит для того, чего вы пытаетесь достичь.

0
22.08.2008 22:02:46

Программно или вручную?

Вручную, я предпочитаю AdExplorer , который является хорошим браузером Active Directory. Вы просто подключаетесь к контроллеру домена, а затем можете найти пользователя и увидеть все детали. Конечно, вам нужны разрешения на контроллере домена, хотя не знаю, какие именно.

Программно, это зависит от вашего языка couse. На .net пространство имен System.DirectoryServices - ваш друг. (У меня нет примеров кода здесь, к сожалению)

Что касается Active Directory, я не очень разбираюсь в том, как его запрашивать, но вот две ссылки, которые я нашел полезными:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (Общие сведения о структуре AD)

5
22.08.2008 22:21:36

Вам необходимо перейти в оснастку «Active Directory Users» после входа в систему в качестве администратора домена на компьютере:

  1. Перейти к началу -> запустить и введите MMC.
  2. В консоли MMC перейдите в Файл ->
  3. Добавить / Удалить оснастку Нажмите Добавить Выбрать
  4. Active Directory - пользователи и компьютеры и выберите Добавить.
  5. Нажмите Закрыть, а затем нажмите ОК.

Отсюда вы можете развернуть дерево доменов и выполнить поиск (щелкнув правой кнопкой мыши по имени домена).

Вам могут не понадобиться специальные привилегии для просмотра содержимого домена Active Directory, особенно если вы вошли в этот домен. Стоит попробовать, чтобы увидеть, как далеко вы можете получить.

Когда вы ищете кого-то, вы можете выбрать столбцы из View -> Choose Columns. Это должно помочь вам найти человека или группу, которую вы ищете.

3
22.08.2008 22:29:12

Спасибо adeel825 и Майкл Стум.

Однако моя проблема в том, что я нахожусь в большой корпорации и у меня нет доступа для входа в систему в качестве администратора домена или для просмотра активного каталога, поэтому я думаю, что мое решение состоит в том, чтобы попытаться получить такой уровень доступа.

0
1.10.2016 14:10:41

Итак, AdExplorer работает на вашей локальной рабочей станции (именно поэтому я предпочитаю его), и я считаю, что большинство пользователей в любом случае имеют доступ для чтения к AD, потому что это действительно требуется для работы, но я не уверен в этом.

0
22.08.2008 22:37:15

Вам не нужны права администратора домена для просмотра активной директории. По умолчанию любой (прошедший проверку?) Пользователь может прочитать необходимую информацию из каталога.

Например, если это не так, компьютер (который также имеет связанную учетную запись) не сможет проверить учетную запись и пароль своего пользователя.

Вам нужно только права администратора, чтобы изменить содержимое каталога.

Я думаю, что можно установить более ограниченные разрешения, но это не так.

2
22.08.2008 23:03:51

Установите «Средства поддержки Windows» на компакт-диске Windows Server (компакт-диск 1, если это Windows 2003 R2). Если ваш привод CD / DVD - D: тогда он будет в D: \ Support \ Tools \ SuppTools.msi

Это дает вам несколько дополнительных инструментов, чтобы «добраться до» AD: LDP.EXE - хорошо для чтения информации в AD, но пользовательский интерфейс вроде воняет. ADSI Edit - еще одна оснастка для MMC.EXE, с помощью которой вы можете просматривать AD и получать доступ ко всем тем раздражающим атрибутам AD, которые вы ищете.

Вы можете установить эти инструменты на локальную рабочую станцию ​​и получать доступ к AD оттуда без прав администратора домена. Если вы можете войти в домен, вы можете по крайней мере запросить / прочитать AD для этой информации.

0
30.04.2009 20:53:19