Windows/Active Directory-Usuario/Grupos

Debe acceder al complemento de usuarios de Active Directory después de iniciar sesión como administrador de dominio en la máquina:

1. Ir a inicio -> ejecutar y escribir en mmc.
2. En la consola de MMC, vaya a Archivo ->
3. Agregar / Eliminar complemento Haga clic en Agregar Seleccionar
4. Usuarios y equipos de Active Directory y seleccione Agregar.
5. Presiona Cerrar y luego presiona OK.

Desde aquí puede expandir el árbol de dominios y buscar (haciendo clic derecho en el nombre del dominio).

Es posible que no necesite privilegios especiales para ver el contenido del dominio de Active Directory, especialmente si ha iniciado sesión en ese dominio. Merece la pena ver qué tan lejos puede llegar.

Cuando busca a alguien, puede seleccionar las columnas de Ver -> Seleccionar columnas. Esto debería ayudarlo a buscar a la persona o grupo que está buscando.

Gracias adeel825 y Michael Stum.

Mi problema es que estoy en una gran corporación y no tengo acceso para iniciar sesión como administrador de dominio ni para ver el directorio activo, así que supongo que mi solución es intentar obtener ese nivel de acceso.

Instale las "Herramientas de soporte técnico de Windows" que se encuentran en el CD del servidor de Windows (CD 1 si es Windows 2003 R2). Si su unidad de CD / DVD es D: entonces estará en D: / Support / Tools / SuppTools.msi

Esto le da un par de herramientas adicionales para "obtener" AD: LDP.EXE - bueno para leer información en AD, pero la interfaz de usuario algo apesta. Edición ADSI: otro complemento para MMC.EXE con el que puede explorar AD y obtener todos los molestos atributos de AD que está buscando.

Puede instalar estas herramientas en su estación de trabajo local y acceder a AD desde allí sin privilegios de administrador de dominio. Si puede iniciar sesión en el dominio, al menos puede consultar / leer AD para obtener esta información.

No necesita derechos de administrador de dominio para mirar el directorio activo. De forma predeterminada, cualquier usuario (¿autenticado?) Puede leer la información que necesita del directorio.

Si ese no fuera el caso, por ejemplo, una computadora (que también tiene una cuenta asociada) no podría verificar la cuenta y la contraseña de su usuario.

Solo necesita derechos de administrador para cambiar el contenido del directorio.

Creo que es posible establecer permisos más restringidos, pero ese no es el caso.

OU es una unidad organizativa (algo así como una subcarpeta en Explorer), no un grupo. Por lo tanto, group1, 2 y 3 no son realmente grupos.

Está buscando el atributo DN, también llamado "distinguishedName". Simplemente puede usar DOMAIN / DN una vez que tenga eso.

Editar: para grupos, el CN ​​(Nombre común) también podría funcionar.

La cadena completa de Active Directory normalmente se ve así:

cn = Nombre de usuario, cn = Usuarios, dc = Nombre de dominio, dc = com

(Puede ser más largo o más corto, pero lo importante es que la parte "ou" no tiene ningún valor para lo que estás tratando de lograr.

Por programa o manualmente?

Manualmente, prefiero AdExplorer , que es un buen navegador de Active Directory. Simplemente se conecta a su controlador de dominio y luego puede buscar al usuario y ver todos los detalles. Por supuesto, necesita permisos en el controlador de dominio, aunque no estoy seguro de cuál.

Programaticamente, depende de tu lenguaje de uso. En .net, el espacio de nombres System.DirectoryServices es tu amigo. (Desgraciadamente, no tengo ningún ejemplo de código aquí)

Para Active Directory, no soy realmente un experto aparte de cómo consultarlo, pero aquí hay dos enlaces que encontré útiles:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (Información general sobre la estructura de AD)