Abfragemitglieder einer Active Directory-Gruppe

29459
Richie086

Im Active Directory gibt es eine Gruppe namens WebSiteUsers, die verwendet wird, um den Zugriff auf einen Ordner zu ermöglichen, den ich über IIS hoste. Ich habe mich gefragt (mit DSQuery, ADFind oder einem anderen frei verfügbaren Tool), wie man folgendes macht:

  1. Wie frage ich den Distinguished Name von WebSiteUsers ab (nehmen wir an, es ist ein paar OUs tief in AD begraben)?

  2. Wie frage ich WebSite-Benutzer ab, um eine Liste von Benutzern (in einem für Menschen lesbaren Format) zu erstellen, die ich mit einer anderen Gruppe vergleichen kann, um sicherzustellen, dass alle Personen, die Zugriff auf diese Ressource benötigen, hinzugefügt wurden? In diesem Beispiel wird davon ausgegangen, dass WebSiteUsers einige tausend Konten hinzugefügt hat. Eine visuelle Prüfung ist daher keine Option. Ich würde es vorziehen, Excel zu verwenden, um die Benutzerlisten zu vergleichen. Daher wäre es ideal, eine CSV-Datei oder eine Textdatei zu exportieren, die ich in Excel bearbeiten kann.

3

1 Antwort auf die Frage

3
Tanner Faulkner

To find the DN run the command dsquery group -name WebSiteUsers


If you have a domain controller set up for PowerShell (you should; it's awesome) you can run the command $WebSiteUsers = Get-ADUser -Filter | foreach

Might not hurt to add a -WhatIf on the Add-ADGroupMember command to double check it's going to do what's intended.


You can also get this list using the Active Directory Users and Computer snap-in. You'll need RSAT installed to do this from your workstation, otherwise you can remote in to a domain controller and open it.

Right click on Saved Queries and select New, Query:

enter image description here

Give it an abitrary name and a short description, then click Define Query:

enter image description here

Under Find: select Custom Search. Click on Field and select User, Member Of

enter image description here

Enter the name of the group you'd like to include and click Add:

enter image description here

Now you can view this list in ADUC. To export it, click the Export List button. This will output to a tab delimited text file.

enter image description here

Danke, dass Sie mich an diese Funktionalität erinnert haben! Als Linux-Benutzer bin ich immer auf der Suche nach Möglichkeiten, Dinge auf der Kommandozeile auszuführen (auch in Windows). Total vergessen, dass dies eine Option war. Richie086 vor 11 Jahren 0
Ich denke, es ist auf der Kommandozeile viel einfacher, selbst unter Windows. Nicht sicher, ob Ihre Umgebung für PowerShell eingerichtet ist. Tanner Faulkner vor 11 Jahren 0
Sie müssen entweder das AD-Modul in die grundlegende Powershell-Befehlsshell importieren oder im Startmenü der Verwaltungstools nach dem Active Directory-Modul für Powershell suchen und es öffnen. (Ich glaube, Sie müssen beide als Administrator ausführen.) Davidw vor 11 Jahren 1