windows active-directory groups

Windows/Active Directory-Usuario/Grupos



active-directory groups (7)

Bueno, AdExplorer se ejecuta en tu estación de trabajo local (y es por eso que lo prefiero) y creo que la mayoría de los usuarios tienen acceso de lectura a AD de todos modos porque eso es realmente necesario para que funcione, pero no estoy seguro de eso.

Estoy buscando una forma de encontrar el inicio de sesión de Windows asociado a un grupo específico. Estoy intentando agregar permisos a una herramienta que solo permite nombres formateados como:

DOMAIN/USER DOMAIN/GROUP

Tengo una lista de usuarios en formato de directorio activo que necesito agregar:

ou=group1;ou=group2;ou=group3

He intentado agregar DOMAIN / Group1, pero aparece un error de "usuario no encontrado".

PD también debe tener en cuenta que no soy un administrador Lan


Debe acceder al complemento de usuarios de Active Directory después de iniciar sesión como administrador de dominio en la máquina:

  1. Ir a inicio -> ejecutar y escribir en mmc.
  2. En la consola de MMC, vaya a Archivo ->
  3. Agregar / Eliminar complemento Haga clic en Agregar Seleccionar
  4. Usuarios y equipos de Active Directory y seleccione Agregar.
  5. Presiona Cerrar y luego presiona OK.

Desde aquí puede expandir el árbol de dominios y buscar (haciendo clic derecho en el nombre del dominio).

Es posible que no necesite privilegios especiales para ver el contenido del dominio de Active Directory, especialmente si ha iniciado sesión en ese dominio. Merece la pena ver qué tan lejos puede llegar.

Cuando busca a alguien, puede seleccionar las columnas de Ver -> Seleccionar columnas. Esto debería ayudarlo a buscar a la persona o grupo que está buscando.


Gracias adeel825 y Michael Stum.

Mi problema es que estoy en una gran corporación y no tengo acceso para iniciar sesión como administrador de dominio ni para ver el directorio activo, así que supongo que mi solución es intentar obtener ese nivel de acceso.


Instale las "Herramientas de soporte técnico de Windows" que se encuentran en el CD del servidor de Windows (CD 1 si es Windows 2003 R2). Si su unidad de CD / DVD es D: entonces estará en D: / Support / Tools / SuppTools.msi

Esto le da un par de herramientas adicionales para "obtener" AD: LDP.EXE - bueno para leer información en AD, pero la interfaz de usuario algo apesta. Edición ADSI: otro complemento para MMC.EXE con el que puede explorar AD y obtener todos los molestos atributos de AD que está buscando.

Puede instalar estas herramientas en su estación de trabajo local y acceder a AD desde allí sin privilegios de administrador de dominio. Si puede iniciar sesión en el dominio, al menos puede consultar / leer AD para obtener esta información.


No necesita derechos de administrador de dominio para mirar el directorio activo. De forma predeterminada, cualquier usuario (¿autenticado?) Puede leer la información que necesita del directorio.

Si ese no fuera el caso, por ejemplo, una computadora (que también tiene una cuenta asociada) no podría verificar la cuenta y la contraseña de su usuario.

Solo necesita derechos de administrador para cambiar el contenido del directorio.

Creo que es posible establecer permisos más restringidos, pero ese no es el caso.


OU es una unidad organizativa (algo así como una subcarpeta en Explorer), no un grupo. Por lo tanto, group1, 2 y 3 no son realmente grupos.

Está buscando el atributo DN, también llamado "distinguishedName". Simplemente puede usar DOMAIN / DN una vez que tenga eso.

Editar: para grupos, el CN ​​(Nombre común) también podría funcionar.

La cadena completa de Active Directory normalmente se ve así:

cn = Nombre de usuario, cn = Usuarios, dc = Nombre de dominio, dc = com

(Puede ser más largo o más corto, pero lo importante es que la parte "ou" no tiene ningún valor para lo que estás tratando de lograr.


Por programa o manualmente?

Manualmente, prefiero AdExplorer , que es un buen navegador de Active Directory. Simplemente se conecta a su controlador de dominio y luego puede buscar al usuario y ver todos los detalles. Por supuesto, necesita permisos en el controlador de dominio, aunque no estoy seguro de cuál.

Programaticamente, depende de tu lenguaje de uso. En .net, el espacio de nombres System.DirectoryServices es tu amigo. (Desgraciadamente, no tengo ningún ejemplo de código aquí)

Para Active Directory, no soy realmente un experto aparte de cómo consultarlo, pero aquí hay dos enlaces que encontré útiles:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (Información general sobre la estructura de AD)