Question Comment puis-je savoir de quels groupes AD je suis membre?


J'exécute un bureau Windows XP dans un environnement d'entreprise. Comment puis-je savoir à quels groupes AD j'appartiens?


210
2018-02-10 16:44


origine


Eh bien, c'est du point de vue du client / du bureau. Il serait assez facile de déterminer si j'avais accès à AD. - chris
@ chirs, expliquez peut-être dans votre question que vous voulez dire du point de vue d'un client dans un domaine Windows. - heavyd


Réponses:


Essayez de courir gpresult /R pour résumé RSoP ou gpresult /V pour une sortie commentée de la ligne de commande en tant qu'administrateur sur l'ordinateur. Il devrait produire quelque chose comme ceci:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

Ou, si vous êtes connecté à un système d'exploitation Windows Server avec le module ActiveDirectory PowerShell (ou au système d'exploitation client avec les outils d'administration de serveur distant), essayez Get-ADPrincipalGroupMembership cmdlet:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales

216
2018-02-10 17:31



Pour des raisons probablement liées à la configuration du réseau de mon client, lorsque j'ai utilisé / v, j'ai reçu un mur de texte géant avec la liste de groupes enfouie quelque part à l'intérieur. J'ai eu beaucoup plus de chance avec gpresult /r. - Jake
Un petit coup de poing pour casser une noix. WHOAMI est la voie à suivre, ou NET USER <utilisateur> / domaine, bien que cela tronque les groupes avec des noms longs. - Simon Catlin
Je devais utiliser gpresult /r. NET USER n'affichait que les 3 à 5 premières adhésions au groupe. - eddiegroves
Je lis cette question chaque fois que je reçois un nouvel emploi. Cette fois c'est préféré! - Robino


Utilisation

whoami /groups

Cela devrait non seulement répertorier les groupes de sécurité mais également les groupes de distribution, si je me souviens bien (et qu'il serait également utile de connaître). S'occupe également de l'imbrication, c'est-à-dire que vous êtes dans le groupe A qui est dans B, donc il vous montre aussi bien que dans B (encore une fois j'essaie de rappeler les détails ici).

Dans Vista et Win7 en mode natif, pour XP, vous avez probablement besoin des outils de support sp2 (ce qui nécessiterait également que vous disposiez de privilèges suffisants pour les installer, bien sûr). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en 


164
2018-02-10 17:47



De plus, whoami / groupes a un cas extrême où vous obtenez des informations erronées. Voir stackoverflow.com/questions/4051883/… - zumalifeguard


Je pense que vous pouvez écrire dans une fenêtre cmd:

net user USERNAME /domain

Remplacer USERNAME avec votre propre nom d'utilisateur, sans préfixe de domaine.


35
2017-11-04 12:18



Impressionnant; Cela m'aide non seulement à voir ce que j'ai, mais aussi à ce que les autres ont, ce qui est utile lorsque j'ai besoin de savoir pourquoi les autres utilisateurs n'ont pas accès à quelque chose. Excellent travail! - Question3CPO
Nous allons certainement classer celle-ci pour l'avenir - elle sera également transférée à PowerShell. - lunchmeat317
Juste un commentaire pour dire merci, c'est beaucoup plus facile que de se connecter au serveur pour vérifier les groupes, ainsi que d'autres informations utiles. - Adam Dempsey


Démarrer - Exécuter - CMD - GPRESULT / r est suffisant -> vous n'avez pas besoin d'afficher le "/ v" complet pour visualiser les effets de groupe en tant qu'utilisateur client en ce qui concerne AD (sous Windows 7, bien sûr, mais je ne suis pas sûr de winxp)


15
2018-04-02 08:36





Si vous n'avez pas accès à AD:

Démarrer - Exécuter - CMD - GPRESULT / v

Vous verrez à la fin: L'utilisateur fait partie des groupes de sécurité suivants


9
2018-02-10 17:09





Si vous cherchez de la vitesse, alors gpresult est à la hauteur ... surtout s'il y a beaucoup de GPO appliqués.

Il suffit d’exécuter l’un des éléments suivants, l’un pour le groupe local et l’autre pour les groupes de domaine: -

Local - 'groupe local c: \ windows \ system32 \ net.exe' + 'nom du groupe à vérifier'

Domaine - 'groupe / domaine c: \ windows \ system32 \ net.exe' + 'nom du groupe à vérifier'

Ensuite, analysez la sortie pour le nom d'utilisateur que vous recherchez car le résultat affichera la liste des utilisateurs de ce groupe. J'espère que cela t'aides.


6
2017-07-18 18:27





Avec tout le mérite de la réponse de Greg Bray ... si le résultat dépasse la taille de l'écran et que vous avez besoin de tout voir, utilisez la commande commande redirect (pipe): ">"écrire les résultats dans un fichier.

Donc ça deviendrait quelque chose comme ça:

C:\Windows\system32>gpresult /V >c:\group_details.txt

2
2018-03-24 08:05



Un commentaire légitime ... qui devrait être ajouté en tant que commentaire à la réponse à laquelle vous accordez du crédit. Cela ne constitue pas une réponse en soi. - SturdyErde