Como listar os usuários e grupos de um grupo de segurança do AD quando não um administrador de domínio

59

Estou no Windows 8 conectado ao domínio.

Desejo visualizar os usuários e grupos de um grupo do AD Security. Eu não sou o dono do grupo. O comando:

net group /domain TheGroupName

mostra os usuários diretos desse grupo, mas não mostra os grupos dentro do grupo.

Como alternativa ao Windows 8, também tenho acesso remoto ao Windows Server 2008 R2 e sou administrador dessa máquina, mas não administrador do domínio. O programa "dsget" não parece estar instalado.

Esta questão está se expandindo para esta (511715)

crokusek
fonte
Se você deseja uma resposta melhor para uma pergunta já existente. O procedimento adequado é oferecer uma recompensa a essa pergunta existente.
Ramhound 21/08/14
1
Essa pergunta foi respondida conforme foi faseada. Esta é uma pergunta nova, mas muito relacionada.
crokusek
O que faz você pensar que deveria ter acesso para obter as listas de usuários e grupos se você não é um administrador de domínio (ou tem a permissão específica apropriada, seja qual for a sua conta de domínio)? Para mim, o oposto pareceria intuitivo.
um CVn
Esse comando funciona para mim agora e, tanto quanto eu sei, não sou um administrador de domínio. Você está dizendo que eu devo estar? Eu também não acho que sou o dono do grupo.
crokusek
1
A função 'Pesquisar no Active Directory' em Meu computador-> Rede concederá o acesso para exibir grupos e informações básicas do usuário sem permissões especiais.
Abraxas

Respostas:

76

Vá para 'Computador', clique em 'Rede' no menu esquerdo, na barra superior, selecione 'Pesquisar no Active Directory'

Você deve procurar grupos e visualizar a associação aqui, mesmo que não seja um administrador.

Acesse 'Pesquisar no Active Directory'

Abraxas
fonte
3
"Tão fácil que um administrador que não seja de domínio pode fazer isso." Eu não sabia que 'Computador' significava dentro do explorer ou Alt-Q 'Rede'. Pode até clicar duas vezes para detalhar. Obrigado. Não sei por que isso não foi uma resposta para a pergunta vinculada, porque é apenas para o Windows 8?
crokusek
1
Esta caixa de diálogo existe desde sempre. O IIRC Windows 2000 também o contém.
Daniel B
12
Linha de comando equivalente (ou Executar):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow
Trisped
2
Onde é o equivalente no Windows 10?
flickerfly
2
@flickerfly no W10, basta clicar na parte superior da janela em Rede (File Network View) e você verá a opção "Pesquisar no Active Directory". parece que "fita" (é assim que é chamada?) está oculta por padrão. Adicionei outra resposta com uma maneira mais direta de chamar esse programa e tenho um atalho útil para esse comando agora.
Razvan Zoitanu
31

Execute isso em um prompt de comando para obter a associação completa de um grupo do AD (usuários E grupos). Testado no Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

Há uma guia Avançada útil lá, que suporta pesquisas parciais de cadeias (começando com, terminando com).

Razvan Zoitanu
fonte
1
Funciona no Windows 7 também. Felicidades.
Xhafan #
Menos cliques, mesmos resultados +1
Randolph
Excelente resposta, direto ao ponto.
Amarnasan 30/10/19
1
Para tornar isso mais acessível: Adicionar um "start" na frente, colocar isso em userq.batno system32. Em seguida, abra a caixa de diálogo via Run-dialog (WINDOWS + R) e userq.
Panki 27/06
9

A Sysinternals oferece o AD Explorer , um utilitário para listar a estrutura LDAP completa de uma floresta do AD. É um exagero leve para o uso pretendido, no entanto.

Não sei exatamente quais permissões são necessárias para consultar esses dados, mas acho que qualquer usuário conectado pode fazê-lo. Nunca tive problemas para consultar quase tudo, mas talvez o domínio no trabalho não esteja protegido adequadamente.

Nota de usabilidade: você não precisará inserir suas credenciais se estiver conectado como um usuário de domínio.

Você, no entanto, precisa do endereço IP ou do nome do host de um controlador de domínio. É provável que seja o mesmo que o seu servidor DNS, então inicie nslookupe tente o endereço exibido lá.

Daniel B
fonte
2
Você pode abrir um prompt de comando e fazer "eco% LOGONSERVER%" para ver o servidor AD que o computador usou para autenticação. Além disso, você deve conseguir "nslookup my.domain.name" para listar todos os servidores AD. Portanto, se você fizer login usando "mydomain \ myuser", tente "nslookup mydomain"
nijave