Directório Do Windows / Activo-Utilizador / Grupos

Estou à procura de uma maneira de encontrar um login do windows associado a um grupo específico. Estou a tentar adicionar permissões a uma ferramenta que só permite nomes formatados como: 

DOMAIN\USER 
DOMAIN\GROUP

tenho uma lista de utilizadores em formato de directório activo que preciso de adicionar: 

ou=group1;ou=group2;ou=group3

tentei adicionar domínio\Group1, mas obtive um erro de 'Utilizador não encontrado'.

P. S. também deve ser notado que eu não sou um Lan admin

Author: ekad, 2008-08-23
Source

7 answers

Programaticamente ou manualmente?

Manualmente, Prefiro AdExplorer , que é um navegador de directórios activo. Você apenas se conecta ao seu controlador de domínio e então você pode procurar o Usuário e ver todos os detalhes. Claro, você precisa de permissões no controlador de domínio, não sei qual, porém.

Programaticamente, depende da sua linguagem. On .net, o sistema .O espaço de nomes é teu amigo. (Eu não tenho nenhum exemplo de código aqui infelizmente)

Para O Active Directory, não sou realmente um perito para além de como o consultar, mas aqui estão dois links que achei úteis:

Http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

Http://en.wikipedia.org/wiki/Active_Directory (coisas gerais sobre a estrutura da AD)

 5
Author: Michael Stum, 2008-08-22 22:21:36

Tem de ir para o directório activo em que os utilizadores se instalam após o registo como administrador de domínio na máquina:

  1. Ir para iniciar --> correr e escrever em mmc.
  2. na consola MMC ir para o ficheiro -- >
  3. Adicionar / Remover O Snap-In Carregue Em Adicionar Seleccionar
  4. Utilizadores de Directórios activos e computadores e seleccione Adicionar.
    5. Bate perto e depois bate BEM.

A partir daqui, poderá expandir a árvore de domínios e procurar (Carregando com o botão direito no nome do domínio).

Pode não ser necessário privilégios especiais para ver o conteúdo do domínio de directório activo, especialmente se estiver ligado a esse domínio. Vale a pena tentar ver até onde consegues chegar.

Quando procurar por alguém, poderá seleccionar as colunas da janela -- > escolha as colunas. Isto deve ajudá-lo a procurar a pessoa ou grupo que você está procurando.

 3
Author: adeel825, 2008-08-22 22:29:12

Não necessita de direitos de administração do domínio para procurar na pasta activa. Por padrão, algum (autenticado?) o usuário pode ler a informação que você precisa do diretório.

Se não fosse esse o caso, por exemplo, um computador (que também tem uma conta associada) não poderia verificar a conta e senha de seu usuário.

Só precisa de direitos de administração para Alterar o conteúdo da pasta.

Acho que é possível definir mais restrito permissões,mas não é o caso.

 2
Author: Euro Micelli, 2008-08-22 23:03:51

OU é uma unidade organizacional( uma espécie de subpasta no Explorer), não um grupo, portanto os grupos 1, 2 e 3 não são realmente grupos.

Você está procurando o atributo DN, também chamado de "distinguishedName". Você pode simplesmente usar o domínio\DN uma vez que você tem isso.

Editar: para grupos, o CN (Nome Comum) também pode funcionar.

O texto completo da pasta activa parece-se normalmente com isto:

Cn=utilizador, cn=utilizadores, dc=DomainName, dc=com

(Can seja maior ou menor, mas o importante é que a parte "ou" é inútil para o que você está tentando alcançar.

 0
Author: Michael Stum, 2008-08-22 22:02:46

Bem, o AdExplorer funciona na sua estação de trabalho Local (e é por isso que eu prefiro) e eu acredito que a maioria dos usuários leram o acesso ao anúncio de qualquer maneira porque isso é realmente necessário para que as coisas funcionem, mas eu não tenho certeza sobre isso.

 0
Author: Michael Stum, 2008-08-22 22:37:15

Instale as "ferramentas de Suporte do Windows" que estão no CD do Windows Server (CD 1 Se For O Windows 2003 R2). Se o seu CD / DVD drive é D: então ele será em D:\Support\Tools\SuppTools.msi

Isto dá-lhe algumas ferramentas adicionais para" apanhar " o anúncio.: LDP.Ex-bom para ler informações no anúncio, mas a IU cheira mal. ADSI Edit-outro snap-in para MMC.EXE que ambos podem navegar no anúncio e chegar a todos os atributos do anúncio chato que estão à procura.

Você pode instalar estas ferramentas na sua estação de trabalho local e acesso AD de lá sem privilégios de administrador de domínio. Se você pode acessar o domínio, você pode pelo menos consultar/ler o anúncio para esta informação.

 0
Author: Doug Seelinger, 2009-04-30 20:53:19
Obrigado, adeel825 & Michael Stum.

O meu problema é que, no entanto, estou numa grande empresa e não tenho acesso ao login como administrador do domínio nem para ver o directório activo, por isso acho que a minha solução é tentar obter esse nível de acesso.

 0
Author: Roy Rico, 2016-10-01 14:10:41