Windows / Active Directory - 用户/组

Question

我正在寻找一种方法来查找与特定组关联的 Windows 登录名。 我正在尝试向仅允许名称格式如下的工具添加权限：

DOMAIN\USER 
DOMAIN\GROUP

我有一个需要添加的活动目录格式的用户列表：

ou=group1;ou=group2;ou=group3

我已尝试添加 DOMAIN\Group1，但我收到“找不到用户”错误。

PS 还应该注意的是，我不是 LAN 管理员

Answer 1

嗯，AdExplorer 在您的本地工作站上运行（这就是我更喜欢它的原因），并且我相信大多数用户无论如何都具有对 AD 的读取访问权限，因为这实际上是工作所需的，但我对此不确定。

Answer 2

安装 Windows Server CD（如果是 Windows 2003 R2，则为 CD 1）上的“Windows 支持工具”。 如果您的 CD/DVD 驱动器是 D:，那么它将位于 D:\Support\Tools\SuppTools.msi

这为您提供了一些“获取”AD 的附加工具：
LDP.EXE - 适合读取 AD 中的信息，但 UI 有点糟糕。
ADSI Edit - MMC.EXE 的另一个管理单元，您可以使用它浏览 AD 并获取您正在寻找的所有那些讨厌的 AD 属性。

您可以在本地工作站上安装这些工具并从那里访问 AD，而无需域管理员权限。 如果你可以登录域，你至少可以查询/读取 AD 的这些信息。

Answer 3

OU 是一个组织单位（有点像资源管理器中的子文件夹），而不是一个组，因此 group1、2 和 3 实际上不是组。

您正在寻找 DN 属性，也称为“distinguishedName”。 有了 DOMAIN\DN 后，您就可以简单地使用 DOMAIN\DN 了。

编辑：对于团体，CN（通用名称）也可以使用。

Active Directory 中的完整字符串通常如下所示：

cn=用户名,cn=用户,dc=域名,dc=com

（可以更长或更短，但重要的是“ou”部分对于您想要实现的目标来说毫无价值。

Answer 4

您不需要域管理员权限即可查看活动目录。 默认情况下，任何（经过身份验证的？）用户都可以从目录中读取所需的信息。

例如，如果情况并非如此，计算机（也有关联的帐户）将无法验证其用户的帐户和密码。

您只需要管理员权限即可更改目录的内容。

我认为可以设置更受限制的权限，但情况不太可能如此。

Answer 5

谢谢adeel825 & 迈克尔·斯图姆.

不过，我的问题是，我在一家大公司中，无权以域管理员身份登录，也无权查看活动目录，所以我想我的解决方案是尝试获得该级别的访问权限。

Answer 6

在计算机上以域管理员身份登录后，您需要转到 Active Directory 用户管理单元：

1. 转到开始 --> 运行并输入 mmc。
2. 在 MMC 控制台中，转到文件 -->
3. 添加/删除管理单元 单击添加 选择
4. Active Directory 用户和计算机，然后选择添加。
5. 点击“关闭”，然后点击“确定”。

从这里您可以展开域树并进行搜索（通过右键单击域名）。

您可能不需要特殊权限即可查看 Active Directory 域的内容，特别是当您登录该域时。 值得一试，看看你能走多远。

当您搜索某人时，您可以从查看 --> 中选择列。 选择列。 这应该可以帮助您搜索您正在寻找的人或团体。

Answer 7

以编程方式还是手动方式？

手动方面，我更喜欢 AdExplorer，这是一个不错的 Active Directory 浏览器。 您只需连接到域控制器，然后就可以查找该用户并查看所有详细信息。 当然，您需要域控制器上的权限，但不确定是哪一个。

从编程上来说，这取决于您的课程语言。 在 .net 上，System.DirectoryServices 命名空间是您的朋友。 （不幸的是，我这里没有任何代码示例）

对于 Active Directory，除了如何查询它之外，我并不是真正的专家，但这里有两个我发现有用的链接

： Computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm" rel="noreferrer">http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory（有关 AD 结构的一般内容）