Windows / Active Directory - Пользователь / Группы

Программно или вручную?

Вручную, я предпочитаю AdExplorer, который является хорошим браузером Active Directory. Вы просто подключаетесь к контроллеру домена, а затем можете найти пользователя и увидеть все детали. Конечно, вам нужны разрешения на контроллере домена, хотя не знаю, какие именно.

Программно, это зависит от вашего языка couse. На.net пространство имен System.DirectoryServices является вашим другом. (К сожалению, здесь нет примеров кода)

Что касается Active Directory, я не очень разбираюсь в том, как его запрашивать, но вот две ссылки, которые я нашел полезными:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (Общие сведения о структуре AD)

Вам необходимо перейти в оснастку "Active Directory Users" после входа в систему в качестве администратора домена на компьютере:

1. Перейти к началу -> запустить и введите MMC.
2. В консоли MMC перейдите в Файл ->
3. Добавить / Удалить оснастку Нажмите Добавить Выбрать
4. Active Directory - пользователи и компьютеры и выберите Добавить.
5. Нажмите Закрыть, а затем нажмите ОК.

Отсюда вы можете развернуть дерево доменов и выполнить поиск (щелкнув правой кнопкой мыши на имени домена).

Вам могут не понадобиться специальные привилегии для просмотра содержимого домена Active Directory, особенно если вы вошли в этот домен. Стоит попробовать, как далеко вы можете пройти.

Когда вы ищете кого-то, вы можете выбрать столбцы из View -> Choose Columns. Это должно помочь вам найти человека или группу, которую вы ищете.

Вам не нужны права администратора домена для просмотра активной директории. По умолчанию любой (прошедший проверку подлинности?) Пользователь может прочитать необходимую информацию из каталога.

Например, если это не так, компьютер (который также имеет связанную учетную запись) не сможет проверить учетную запись и пароль своего пользователя.

Вам нужны только права администратора, чтобы изменить содержимое каталога.

Я думаю, что можно установить более ограниченные разрешения, но это не так.

Итак, AdExplorer работает на вашей локальной рабочей станции (именно поэтому я предпочитаю его), и я считаю, что большинство пользователей в любом случае имеют доступ для чтения к AD, потому что это действительно необходимо для работы, но я не уверен в этом.

OU - это организационная единица (вроде подпапки в проводнике), а не группа, следовательно, группы 1, 2 и 3 на самом деле не являются группами.

Вы ищете атрибут DN, также называемый "отличительное имя". Вы можете просто использовать DOMAIN\DN, если у вас есть это.

Изменить: Для групп, CN (общее имя) также может работать.

Полная строка из Active Directory обычно выглядит так:

сп = Имя пользователя, сп =Users, DC = имя_домена, DC = COM

(Может быть длиннее или короче, но важным моментом является то, что часть "оу" ничего не стоит для того, чего вы пытаетесь достичь.

Спасибо adeel825 и Майкл Стум.

Однако моя проблема в том, что я нахожусь в большой корпорации и у меня нет доступа для входа в систему в качестве администратора домена или для просмотра активного каталога, поэтому я думаю, что мое решение состоит в том, чтобы попытаться получить такой уровень доступа.

Установите "Средства поддержки Windows", которые находятся на компакт-диске Windows Server (компакт-диск 1, если это Windows 2003 R2). Если ваш привод CD/DVD - D: тогда он будет в D:\Support\Tools\SuppTools.msi

Это дает вам пару дополнительных инструментов, чтобы "добраться до" AD: LDP.EXE - хорошо для чтения информации в AD, но пользовательский интерфейс вроде воняет. Редактирование ADSI - еще одна оснастка для MMC.EXE, с помощью которой вы можете просматривать AD и получать доступ ко всем тем раздражающим атрибутам AD, которые вы ищете.

Вы можете установить эти инструменты на локальную рабочую станцию ​​и получать доступ к AD оттуда без прав администратора домена. Если вы можете войти в домен, вы можете по крайней мере запросить / прочитать AD для этой информации.