Linha de comando para listar usuários em um grupo do Windows Active Directory?

136

Existe uma maneira de linha de comando para listar todos os usuários em um grupo específico do Active Directory?

Para ver quem está no grupo, vá para Gerenciar Computador -> Usuário / Grupos Locais -> Grupos e clique duas vezes no grupo.

Eu só preciso de uma maneira de linha de comando para recuperar os dados, para que eu possa executar outras tarefas automatizadas.

windows active-directory

— Peter Mortensen
fonte

37

experimentar

dsget group "CN=GroupName,DC=domain,DC=name,DC=com" -members

— pQd
fonte

1

Você provavelmente precisará fazer um pouco mais para resolver membros e duplicar membros em grupos aninhados.

— duffbeer703

1

dsget group "CN=GroupName,DC=domain,DC=name,DC=com" -members -expandfornece os membros nos grupos aninhados, embora isso não ajude com duplicatas, e fornece a sequência de consultas completa do AD para o membro, não apenas o CN deles.

— jonnybot

2

Comando não encontrado no Win7 SP1. Acho que você precisa do RSAT instalado?

— Iszi

11

'dsget' não é reconhecido como um comando interno ou externo, etc.

— adolf garlic

1

@adolfgarlic - stackoverflow.com/questions/8514599/…

— bchilders

238

Aqui está outra maneira do prompt de comando, sem saber o quão automatizável, pois você precisaria analisar a saída:

Se o grupo for "grupo de segurança global":

net group <your_groupname> /domain

Se você estiver procurando por "grupo de segurança local do domínio":

net localgroup <your_groupname> /domain

— Comunidade
fonte

23

não sei por que isso foi prejudicado ... a saída pode exigir um pouco de análise, mas tem a vantagem de depender apenas dos utilitários que fazem parte da instalação básica do Windows.

— G-Wiz

2

Mas existe alguma maneira de contornar os nomes de grupos truncados?

— deed02392

1

Isso é ótimo! Trabalhou um prazer.

— WOPR

2

Observe que isso não é recursivo e não lista os grupos que estão em um grupo. Não é muito útil se você tiver grupos aninhados ou hierárquicos.

— Mark

Isso funciona perfeitamente para mim (e anda bem de mãos dadas com net user /domain). Obrigado!

— xan

49

Aqui está uma versão do comando ds que achei mais útil, principalmente se você tiver uma estrutura complexa de OU e não necessariamente souber o nome distinto completo do grupo.

dsquery group -samid "Group_SAM_Account_Name" | dsget group -members -expand

ou se você conhece o CN do grupo, geralmente o mesmo que o ID do SAM, citado no caso de haver espaços no nome:

dsquery group -name "Group Account Name" | dsget group -members -expand

Conforme declarado nos comentários, por padrão, os comandos ds * (dsquery, dsget, dsadd, dsrm) estão disponíveis apenas em um controlador de domínio. No entanto, você pode instalar o pacote Admin Tools a partir das Ferramentas de Suporte na mídia de instalação do Windows Server ou baixá-lo no site de Download da Microsoft.

Você também pode executar essas consultas usando o PowerShell. O PowerShell já está disponível como um recurso instalável para Server 2008, 2008 R2 e Windows 7, mas você precisará fazer o download do WinRM Framework para instalá-lo no XP ou Vista.

Para obter acesso a qualquer cmdlets específico do AD no PowerShell, você também precisará executar pelo menos uma das seguintes instalações:

Para clientes Win 7 e 2008 R2, você pode instalar as Ferramentas administrativas do servidor remoto . O RSAT também exige que você tenha instalado o recurso Serviços da Web do Active Directory nos controladores de domínio do Server 2008 R2 ou o Serviço de Gateway de Gerenciamento do Active Directory para qualquer controlador de domínio do Server 2003/2008 .
Para qualquer cliente XP ou superior, baixe e instale o Shell de Gerenciamento do Quest ActiveRoles para Active Directory . As ferramentas da Quest não exigem alterações adicionais nos seus CDs.

— Ryan Fisher
fonte

Eu uso a primeira consulta o tempo todo

— Jim B

1

Esteja ciente de que você precisa executar este comando no controlador de domínio.

— Skolima

9

Você NÃO precisa executar este comando em um controlador de domínio. No entanto, você NÃO precisa ter instalado o Support Pack .msi de administração que está incluído nas ferramentas de suporte no CD-ROM do Windows 2003 Server. Ou faça o download em microsoft.com/downloads/en/…

— Ryan Fisher

24

Para uma solução do PowerShell que não requer o suplemento do Quest AD, tente o seguinte

Import-Module ActiveDirectory

Get-ADGroupMember "Domain Admins" -recursive | Select-Object name

Isso enumerará os grupos aninhados também. Se você não desejar, remova a opção -recursive .

— pk.
fonte

6

Você está certo de que o módulo ActiveDirectory não requer o snap-in do Quest ActiveRoles AD, mas exige que você tenha as ferramentas RSAT instaladas e que seu AD tenha pelo menos um controlador de domínio com o Serviço da Web do Active Directory (para 2008 R2) ou o Serviço de Gateway de Gerenciamento do Active Directory (para 2003, 2008 DCs) instalado. Veja minha resposta acima para obter detalhes e links.

— Ryan Fisher

16

Uma maneira muito fácil que funciona em servidores e clientes:

NET GROUP "YOURGROUPNAME" /DOMAIN | find /I /C "%USERNAME%"

Retorna 1 se o usuário estiver no grupo YOURGROUPNAME, caso contrário, retornará 0

Você pode usar o valor% ERRORLEVEL% (0 se usuário do grupo, 1 se não), como

IF %ERRORLEVEL%==0 NET USE %LOGONSERVER%\YOURGROUPSHARE

— deajan
fonte

1

O comando "net group" pesquisa apenas domínio (ou árvore de domínio) em que o computador está associado. Uma alternativa mais moderna é: whoami /groups | find /I /C "YOURGROUPNAME"

— DavisNT 15/09/2015

10

Usando o Shell de Gerenciamento gratuito de ActiveRoles do PowerShell e da Quest Software para o Active Directory, você pode usar:

(Get-QADGroup "GroupName"). Membros

http://www.quest.com/powershell/activeroles-server.aspx

— Gordon Bell
fonte

Também: Get-QADGroupMember 'GroupName'

— Gordon Bell

7

As respostas aqui usando dsgete dsqueryfuncionarão apenas nas versões de servidor do Windows, pois esses comandos não são enviados em outras versões do Windows (por exemplo, Windows 7). Em máquinas sem esses comandos, você pode obter as informações desejadas usando o comando AdFind .

Aqui está um exemplo de consulta para obter associação ao grupo:

AdFind.exe -default -f name="Domain Admins" member -list

— markshep
fonte

4

O ADFind.exe é uma ferramenta de terceiros que você precisa instalar de qualquer maneira. Os comandos ds * são instaláveis através do pacote Admin Tools.

— Ryan Fisher

4

Como listar grupos e usuários locais?

Use o seguinte script do PowerShell para listar os grupos locais e os membros desses grupos.

$server="YourServerName"
$computer = [ADSI]"WinNT://$server,computer"

$computer.psbase.children | where { 

$_.psbase.schemaClassName -eq 'group' } | foreach {
    write-host $_.name
    write-host "------"
    $group =[ADSI]$_.psbase.Path
    $group.psbase.Invoke("Members") | foreach {
$_.GetType().InvokeMember("Name", 'GetProperty', 

$null, $_, $null)}
    write-host
}

Copie o texto acima para o bloco de notas e salve como filename.ps1. Em seguida, execute o arquivo Eu devo exibir os Grupos e Usuários em cada grupo, ou você pode simplesmente executar isso no PowerShell.

— Sysadmin
fonte

Eu recebo cmdlet ForEach-Object at command pipeline position 1. Supply values for the following parameters:e, em seguida, solicita entrada, #Process[0]

— Mike S

3

Para exibir membros da UserGroup1tentativa:

dsquery group -name UserGroup1 | dsget group -members | dsget user -display

— vadim
fonte

1

Talvez queira apontar em qual utilitário CLI você usaria isso. Não acho que isso funcione muito bem cmdpor algum motivo.

— HopelessN00b

@ HopelessN00b: isso funciona no cmd

— Pete

@Pete Newp! dsget failed:'Target object for this command' is missing.

— precisa

@ HopelessN00b: Eu recebo um erro se o UserGroup1 não existir, tente algo como "Accounting *"

— Pete