[英]Windows / Active Directory - User / Groups
我正在尋找一種方法來查找與特定組關聯的Windows登錄。 我正在嘗試將權限添加到僅允許以下格式的名稱的工具:
DOMAIN\USER
DOMAIN\GROUP
我有一個我需要添加的活動目錄格式的用戶列表:
ou=group1;ou=group2;ou=group3
我嘗試添加DOMAIN \\ Group1,但是我收到了“用戶未找到”錯誤。
PS也應該注意我不是蘭管理員
以編程方式還是手動方式?
手動,我更喜歡AdExplorer ,這是一個很好的Active Directory瀏覽器。 您只需連接到您的域控制器,然后您就可以查找用戶並查看所有詳細信息。 當然,您需要域控制器的權限,但不確定哪個。
以編程方式,它取決於您的語言。 在.net上, System.DirectoryServices命名空間是您的朋友。 (遺憾的是,這里沒有任何代碼示例)
對於Active Directory,我不是一個專家,除了如何查詢它,但這里有兩個我認為有用的鏈接:
http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm
http://en.wikipedia.org/wiki/Active_Directory (關於AD結構的一般內容)
在計算機上以域管理員身份登錄后,您需要轉到Active Directory用戶管理單元:
從這里,您可以展開域樹並搜索(通過右鍵單擊域名)。
您可能不需要特殊權限來查看Active Directory域的內容,尤其是在您登錄該域時。 值得一試看你能走多遠。
搜索某人時,可以從“視圖” - >“選擇列”中選擇列。 這可以幫助您搜索您要查找的人或組。
您不需要域管理員權限來查看活動目錄。 默認情況下,任何(經過身份驗證的?)用戶都可以從目錄中讀取所需的信息。
如果不是這種情況,例如,計算機(也有相關帳戶)無法驗證其用戶的帳戶和密碼。
您只需要管理員權限即可更改目錄的內容。
我認為可以設置更多受限制的權限,但情況可能並非如此。
OU是組織單位(有點像資源管理器中的子文件夾),而不是組,因此group1,2和3實際上不是組。
您正在尋找DN屬性,也稱為“distinguishedName”。 一旦你擁有了DOMAIN \\ DN,你就可以使用它。
編輯:對於組,CN(公用名)也可以工作。
Active Directory中的完整字符串通常如下所示:
CN =用戶名,CN =用戶,DC =域名,DC = com的
(可以更長或更短,但重要的是“ou”部分對於你想要實現的目標毫無價值。
感謝adeel825和Michael Stum。
我的問題是,雖然我是一個大公司,無法以域管理員身份登錄,也無法查看活動目錄,所以我想我的解決方案是嘗試獲得該級別的訪問權限。
好吧,AdExplorer在您的本地工作站上運行(這就是我喜歡它的原因)並且我相信大多數用戶無論如何都可以讀取AD,因為這實際上是需要工作的東西,但我不確定。
安裝Windows Server CD上的“Windows支持工具”(CD 1,如果它是Windows 2003 R2)。 如果您的CD / DVD驅動器是D:那么它將在D:\\ Support \\ Tools \\ SuppTools.msi中
這為您提供了一些額外的“get in”AD工具:LDP.EXE - 適合在AD中讀取信息,但UI有點臭。 ADSI Edit - MMC.EXE的另一個管理單元,您可以瀏覽AD並獲取您正在尋找的所有那些討厭的AD屬性。
您可以在本地工作站上安裝這些工具,並從那里訪問AD而無需域管理員權限。 如果您可以登錄到域,則至少可以查詢/讀取AD以獲取此信息。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.