Como posso descobrir em quais grupos do AD eu sou membro?

231

Estou executando uma área de trabalho do Windows XP em um ambiente corporativo. Como posso descobrir a quais grupos do AD eu pertenço?

chris
fonte
4
Bem, é da perspectiva do cliente / desktop. Seria muito fácil descobrir se eu tinha acesso ao AD.
Chris
@ cadeiras, talvez esclareça na sua pergunta que você quer dizer da perspectiva de um cliente em um domínio do Windows.
heavyd

Respostas:

237

Tente executar o gpresult /Rresumo do RSoP ou gpresult /Va saída detalhada da linha de comando como administrador no computador. Deve produzir algo como isto:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

Ou, se você estiver conectado a um sistema operacional Windows Server com o ActiveDirectory PowerShell Module (ou sistema operacional cliente com as Ferramentas de administração remota do servidor), tente o Get-ADPrincipalGroupMembershipcmdlet:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales
Greg Bray
fonte
34
Por razões provavelmente relacionadas à configuração da rede do meu cliente, quando usei / v, recebi uma parede gigante de texto com a lista de grupos enterrada em algum lugar dentro. Eu tive uma sorte muito melhor com gpresult /r.
Jake
15
Um pouco de uma marreta para quebrar uma noz. WHOAMI é o caminho a seguir, ou USUÁRIO DA NET <usuário> / domínio, embora isso trunque grupos com nomes longos.
22613 Simon Catlin
2
Eu tive que usar gpresult /r. NET USERexibiu apenas as primeiras 3 a 5 participações em grupos.
precisa saber é o seguinte
Eu leio essa pergunta toda vez que consigo um novo emprego. Desta vez é favorito!
Robino 25/05
179

Usar

whoami /groups

Isso deve não apenas listar grupos de segurança, mas também grupos de distribuição, se bem me lembro (e que também pode ser útil saber). Também cuida do aninhamento, ou seja, você está no grupo A, que está em B, por isso mostra como também em B (novamente estou tentando lembrar os detalhes aqui).

No Vista e no Win7, nativamente, para XP, você provavelmente precisa das ferramentas de suporte sp2 (o que também exigiria privilégios suficientes para instalá-las, é claro). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en

AdamV
fonte
Também whoami / groups tem um caso extremo em que você obtém as informações erradas. Veja stackoverflow.com/questions/4051883/…
zumalifeguard
43

Eu acho que você pode escrever em uma janela de cmd:

net user USERNAME /domain

Substitua USERNAMEpor seu próprio nome de usuário, sem prefixo de domínio.

Patrik Lindström
fonte
2
Impressionante; isso me ajuda a não apenas ver o que tenho, mas o que os outros têm, o que é útil quando preciso ver por que outros usuários não têm acesso a algo. Excelente trabalho!
Question3CPO
Definitivamente arquivará este presente para o futuro - também será transferido para o PowerShell.
lunchmeat317
Apenas um comentário para agradecer, isso é muito mais fácil do que fazer login no servidor para verificar grupos, algumas outras informações úteis também.
9307 Adam Dempsey #
16

Iniciar - Executar - CMD - GPRESULT / r é suficiente -> você não precisa exibir o "/ v" completo para visualizar os pertences do grupo como usuário-cliente no que diz respeito ao AD (no Windows 7, com certeza, mas eu não tenho certeza sobre o winxp)

Wojtek Krotoszynski
fonte
9

Se você não tem acesso ao AD:

Iniciar - Executar - CMD - GPRESULT / v

Você verá no final: O usuário faz parte dos seguintes grupos de segurança

r0ca
fonte
6

Se você procura velocidade, o gpresult é slo w ... especialmente se houver muitos GPOs aplicados.

Basta executar um dos seguintes, um é para grupo local e o outro é para grupos de domínio: -

Local - 'c: \ windows \ system32 \ net.exe localgroup' + 'nome do grupo a ser verificado'

Domínio - 'c: \ windows \ system32 \ net.exe grupo / domínio' + 'nome do grupo a ser verificado'

Em seguida, analise a saída do nome de usuário que você está procurando, pois o resultado listará os usuários nesse grupo. Espero que isto ajude.

user1673554
fonte
2

Com total crédito à resposta de Greg Bray ... se o resultado exceder o tamanho da tela e você precisar ver TODOS, use o prático comando de redirecionamento (canal) : " >" para gravar os resultados no arquivo.

Então isso se tornaria algo assim:

C:\Windows\system32>gpresult /V >c:\group_details.txt
user919426
fonte
2
Um comentário legítimo ... que deve ser adicionado como um comentário à resposta que você está dando crédito. Isso não se qualifica como resposta por si só.
precisa saber é o seguinte