Comment répertorier les utilisateurs et les groupes d'un groupe de sécurité AD lorsqu'il ne s'agit pas d'un administrateur de domaine

59

Je suis sur Windows 8 connecté au domaine.

Je souhaite afficher les utilisateurs et les groupes d'un groupe de sécurité AD. Je ne suis pas le propriétaire du groupe. La commande:

net group /domain TheGroupName

affiche les utilisateurs directs de ce groupe mais ne montre pas les groupes au sein du groupe.

En guise d'alternative à Windows 8, j'ai également un accès à distance à Windows Server 2008 R2 et suis un administrateur pour cette machine, mais pas un administrateur pour le domaine. Le programme "dsget" ne semble pas être installé.

Cette question est élargie sur celle-ci (511715)

crokusek
la source
Si vous voulez une meilleure réponse à une question déjà existante. La procédure appropriée consiste à offrir une prime à cette question existante.
Ramhound
1
Cette question a reçu une réponse au fur et à mesure de son évolution. C'est une question nouvelle mais très liée.
crokusek
Qu'est-ce qui vous fait penser que vous devriez avoir accès à la liste des utilisateurs et des groupes si vous n'êtes pas administrateur de domaine (ou disposez de l'autorisation spécifique appropriée, quelle qu'elle soit, sur votre compte de domaine)? Pour moi, le contraire semblerait intuitif.
un CVn
Cette commande fonctionne pour moi maintenant et, autant que je sache, je ne suis pas administrateur de domaine. Voulez-vous dire que je dois être? Je ne pense pas non plus être le propriétaire du groupe.
crokusek
1
La fonction 'Recherche Active Directory' de Poste de travail-> Réseau vous permettra d'accéder aux groupes de vues et aux informations utilisateur de base sans autorisations spéciales.
Abraxas

Réponses:

76

Allez sur "Ordinateur", cliquez sur "Réseau" dans le menu de gauche, dans la barre du haut, sélectionnez "Recherche Active Directory".

Vous devriez pouvoir rechercher des groupes et voir les membres ici, même si ce n’est pas un administrateur.

Accédez à 'Recherche Active Directory'

Abraxas
la source
3
"Si facile, un administrateur ne faisant pas partie du domaine peut le faire." Je n'avais pas réalisé que «ordinateur» signifiait dans l'explorateur ou le réseau Alt-Q. Peut même double-cliquer pour explorer. Merci. Je ne sais pas pourquoi ce n'était pas une réponse à la question liée, parce que ce n'est que pour Windows 8?
crokusek
1
Ce dialogue existe depuis toujours. IIRC Windows 2000 le contient aussi.
Daniel B
12
Équivalent en ligne de commande (ou Exécuter):"C:\Windows\System32\rundll32.exe" dsquery.dll,OpenQueryWindow
Trisped
2
Où est l'équivalent dans Windows 10?
papillotement
2
@flickerfly dans W10, il suffit de cliquer en haut de la fenêtre sur Réseau (File Network View) pour afficher l'élément "Rechercher dans Active Directory". semble que "ruban" (est-ce que ça s'appelle?) est caché par défaut. J'ai ajouté une autre réponse avec un moyen plus simple d'appeler ce programme, et j'ai un raccourci pratique pour cette commande maintenant.
Razvan Zoitanu 2/02/2017
31

Exécutez cette opération à partir d’une invite de commande pour obtenir l’appartenance complète d’un groupe AD (utilisateurs ET groupes). Testé sous Windows 10.

Rundll32 dsquery.dll OpenQueryWindow

Il y a un onglet avancé très pratique qui supporte les recherches de chaînes partielles (commençant par, finissant par).

Razvan Zoitanu
la source
1
Fonctionne également sur Windows 7. À votre santé.
xhafan
Moins de clics, mêmes résultats +1
Randolph
Excellente réponse, droit au but.
Amarnasan
1
Pour rendre ceci plus accessible: Ajoutez un "début" en avant, mettez ceci userq.batdans system32. Ouvrez ensuite la boîte de dialogue à l’aide des Runboutons -dialog (WINDOWS + R) et userq.
Panki
9

Sysinternals propose AD Explorer , un utilitaire permettant de répertorier la structure LDAP complète d'une forêt AD. C'est un peu exagéré pour votre usage prévu, cependant.

Je ne sais pas exactement quelles autorisations sont nécessaires pour interroger ces données, mais je suppose que tout utilisateur connecté peut le faire. Je n'ai jamais eu aucun problème à interroger à peu près tout, mais peut-être que le domaine au travail n'est pas sécurisé correctement.

Remarque sur l'utilisabilité: vous n'avez pas besoin d'entrer vos informations d'identification si vous êtes connecté en tant qu'utilisateur de domaine.

Cependant, vous avez besoin de l'adresse IP ou du nom d'hôte d'un contrôleur de domaine. Il est probable que cela soit identique à votre serveur DNS, alors lancez-vous nslookupet essayez l'adresse affichée à cet endroit.

Daniel B
la source
2
Vous pouvez ouvrir une invite de commande et faire "echo% LOGONSERVER%" pour voir le serveur AD utilisé par l'ordinateur pour l'authentification. De plus, vous devriez pouvoir "nslookup my.domain.name" pour lister tous les serveurs AD. Donc, si vous vous connectez avec "mydomain \ myuser", essayez "nslookup mydomain"
nijave