Windows / Active Directory – 用户/组

我正在寻找一种方法来查找与特定关联的Windowslogin。 我正在尝试将权限添加到只允许名称格式化的工具,如:

DOMAIN\USER DOMAIN\GROUP 

我有一个活动目录格式的用户列表,我需要添加:

 ou=group1;ou=group2;ou=group3 

我曾尝试添加DOMAIN \ Group1,但我得到一个“用户未find”的错误。

PS还应该指出,我不是一个蓝pipe理员

编程或手动?

手动,我更喜欢AdExplorer ,这是一个很好的活动目录浏览器。 您只需连接到您的域控制器,然后您可以查找该用户并查看所有详细信息。 当然,你需要在域控制器上的权限,不知道是哪个。

在编程上,这取决于你的语言。 在.net上, System.DirectoryServices命名空间是您的朋友。 (不幸的是,我没有任何代码示例)

对于Active Directory,除了如何查询外,我不是专家,但是这里有两个我觉得有用的链接:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (关于AD结构的一般东西)

在计算机上以域管理员身份登录后,需要转到“Active Directory用户管理单元”:

  1. 转到开始 – >运行并键入mmc。
  2. 在MMC控制台中转到文件 – >
  3. 添加/删除管理单元单击添加选择
  4. Active Directory用户和计算机,然后选择添加。
  5. 点击关闭,然后点击确定。

从这里您可以展开域树并搜索(通过右键单击域名)。

您可能不需要特殊的权限来查看Active Directory域的内容,特别是如果您在该域上登录。 值得一试,看看你能得到多远。

搜索某人时,可以从“查看” – >“选择列”中选择列。 这应该可以帮助你搜索你正在寻找的人或者组。

您不需要域管理员权限来查看活动目录。 默认情况下,任何(经过身份验证的)用户都可以从目录中读取所需的信息。

如果情况并非如此,例如,一台计算机(也有一个关联的帐户)无法验证其用户的帐户和密码。

您只需要管理员权限即可更改目录的内容。

我认为可以设置更多受限制的权限,但情况并非如此。

OU是一个组织单位(有点像资源管理器中的一个子文件夹),而不是一个组,因此group1,2和3实际上不是组。

您正在查找DN属性,也称为“distinguishedName”。 一旦你有了,你可以直接使用DOMAIN \ DN。

编辑:对于组,CN(通用名称)也可以工作。

Active Directory中的完整字符串通常如下所示:

CN =用户名,CN =用户,DC =域名,DC = com的

(可以更长或更短,但重要的是,“ou”部分对于你所要达到的目标毫无价值。

那么,AdExplorer运行在您的本地工作站上(这就是为什么我更喜欢它),我相信大多数用户都可以读取AD,因为这实际上是需要工作的东西,但我不确定。

安装Windows server CD上的“Windows支持工具”(如果是Windows 2003 R2,则为CD 1)。 如果您的CD / DVD驱动器是D:那么它将在D:\ Support \ Tools \ SuppTools.msi中

这给你几个额外的工具来“获取”AD:LDP.EXE – 适合阅读AD中的信息,但UI有点臭。 ADSI编辑 – MMC.EXE的另一个管理单元,您可以同时浏览AD并获取所需的所有讨厌的AD属性。

您可以在您的本地工作站上安装这些工具,并从那里访问AD,而无需域管理员权限。 如果您可以登录到域,则至少可以查询/读取AD以获取此信息。

感谢adeel825&Michael Stum。

我的问题是,虽然我在一家大公司,并且无法以域管理员身份登录,也无法查看活动目录,所以我想我的解决方案是尝试获取该级别的访问权限。