web-dev-qa-db-ja.com

コマンドラインからユーザーの切り捨てられていないActive Directoryグループを取得する

私はよくNet Userコマンドを使用して、ユーザーのADグループを確認します。

Net User /DOMAIN <username>

これはうまく機能しますが、グループ名は約20文字に切り捨てられます。そして、私の組織では、ほとんどのグループ名はこれよりはるかに長いです。

誰もがコマンドラインから切り捨てられていないADグループを取得する方法を知っていますか?

windowscmdactive-directory
79
Ben

GPRESULTは正しいコマンドですが、パラメーターなしでは実行できません。 /vまたは詳細オプションは、テキストファイルにも出力しないと管理が困難です。例えば。使用することをお勧めします

gpresult /user myAccount /v > C:\dev\me.txt-- C:\ Dev\me.txtの存在を確認する

別のオプションは、コマンドウィンドウで完全に表示される可能性のある概要情報のみを表示することです。

gpresult /user myAccount /r

アカウントは見出しの下にリストされます。

The user is a part of the following security groups
---------------------------------------------------
99
P.Brian.Mackey

少し古い記事ですが、一体何であるかを考えました。 「whoami」はあなたのニーズを満たしていますか?

私は今日それについて知りました(実際にここに来た同じGoogle検索から)。 WindowsにはXP(アドオンツールキットの一部)以来whoamiツールがあり、Vistaからビルトインされています。

whoami /groups

現在ログオンしているユーザーのすべてのADグループを一覧表示します。ただし、そのユーザーとしてASにログオンする必要があると思うので、ユースケースでコマンドを実行して別のユーザーを見る必要がある場合、これは役に立ちません。

48
Doug

または、dsqueryおよびdsgetを使用できます。

dsquery user domainroot -name <userName> | dsget user -memberof

グループメンバーシップを取得するには、次のようにします。

Tue 09/10/2013 13:17:41.65
C:\
>dsquery user domainroot -name jqpublic | dsget user -memberof
"CN=Technical Support Staff,OU=Acme,OU=Applications,DC=YourCompany,DC=com"
"CN=Technical Support Staff,OU=Contosa,OU=Applications,DC=YourCompany,DC=com"
"CN=Regional Administrators,OU=Workstation,DC=YourCompany,DC=com"

このパッケージをコンピューターにインストールしたことを示す証拠は見つかりませんが、Windows 7用のリモートサーバー管理ツールをインストールする必要がある場合があります。

5
Major Malfunction

Powershellを使用: Active Directoryを操作するWindows Powershell

クイックヒント– Powershellを使用したグループADメンバーシップの決定

0
Mitch Wheat

P.Brian.Mackeyの回答に基づいて、gpresult /user <UserName> /rコマンドを使用してみましたが、ユーザーアカウントでしか機能しないようです。他のユーザーアカウントの場合、この結果はThe user "userNameHere" does not have RSOP dataでした。

だから私はこのブログを読みました-- https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html-- と解決策に出くわしました。ユーザーのコンピューター名を知っている必要があります。

gpresult /s <UserComputer> /r /user:<UserName>

コマンドを実行した後、プログラムが出力の途中で一時停止するため、プログラムが完了するまで数回ENTERする必要があります。また、結果は、「COMPUTER SETTINGS> Applied Group Policy Objects」、次に「COMPUTER SETTINGS> Security groups」、最後に「USER SETTINGS> security groups」のセクションを含む大量のデータを提供しました(これは、切り捨てられていないADグループで探しているものです)説明!)。

GPRESULTには、ネットユーザーコマンドには表示されない追加メンバーが含まれていたことに注意してください。また、ソート順は一致せず、アルファベット順ではありません。素晴らしいコメントをより多くの洞察を追加できる団体。

結果:gpresult (with ComputerName, UserName)

セキュリティ上の理由から、メンバーシップ結果のサブセットのみを含めました。 (合計36、12サンプル)

The user is a part of the following security groups
---------------------------------------------------
..
 Internet Email 
 GEVStandardPSMViewers  
 GcoFieldServicesEditors    
 AnimalWelfare_Readers  
 Business Objects   
 Zscaler_Standard_Access    
..
 GCM    
..
 GcmSharesEditors   
 GHVStandardPSMViewers  
 IntranetReportsViewers 
 JetDWUsers     -- (NOTE: this one was deleted today, the other "Jet" one was added)
..
 Time and Attendance Users  
..

結果:Net User /DOMAIN (with UserName)

セキュリティ上の理由から、メンバーシップ結果のサブセットのみを含めました。 (合計23、12サンプル)

Local Group Memberships  
Global Group memberships    ...
                             *Internet Email       *GEVStandardPSMViewers
                             *GcoFieldServicesEdito*AnimalWelfare_Readers
                             *Business Objects     *Zscaler_Standard_Acce
                             ...
                             *Time and Attendance U*GCM
                             ...
                             *GcmSharesEditors     *GHVStandardPSMViewers
                             *IntranetReportsViewer*JetPowerUsers
The command completed successfully.
0
SherlockSpreadsheets