Pregunta ¿Cómo puedo saber de qué grupos de AD soy miembro?


Estoy ejecutando un escritorio de Windows XP en un entorno corporativo. ¿Cómo puedo saber a qué grupos AD pertenezco?


210
2018-02-10 16:44


origen


Bueno, es desde la perspectiva del cliente / escritorio. Sería bastante fácil averiguar si tenía acceso a AD. - chris
@chirs, tal vez aclare en su pregunta que quiere decir desde la perspectiva de un cliente en un dominio de Windows. - heavyd


Respuestas:


Intenta correr gpresult /R para el resumen de RSoP o gpresult /V para una salida detallada desde la línea de comandos como administrador en la computadora. Debe salir algo como esto:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

O bien, si ha iniciado sesión en un sistema operativo Windows Server con el módulo ActiveDirectory PowerShell (o el sistema operativo cliente con las herramientas de administración remota del servidor) intente Get-ADPrincipalGroupMembership cmdlet:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales

216
2018-02-10 17:31



Por razones probablemente relacionadas con la configuración de la red de mi cliente, cuando usé / v, recibí un muro de texto gigante con la lista de grupos enterrada en algún lugar dentro. Tuve mucha mejor suerte con gpresult /r. - Jake
Poco de un martillo para romper una tuerca. WHOAMI es el camino a seguir, o NET USER <usuario> / dominio, aunque esto trunca grupos con nombres largos. - Simon Catlin
Tuve que usar gpresult /r. NET USER Solo se muestran las primeras membresías de 3 a 5 grupos. - eddiegroves
Leo esta pregunta cada vez que consigo un nuevo trabajo. Esta vez es favorito! - Robino


Utilizar

whoami /groups

Esto no solo debería incluir los grupos de seguridad sino también los grupos de distribución, si recuerdo correctamente (y que también podría ser útil saber). También se encarga de anidar, es decir, usted está en el grupo A, que está en B, por lo que también se muestra en B (nuevamente, estoy tratando de recordar los detalles aquí).

En Vista y Win7 de forma nativa, para XP es probable que necesites las herramientas de soporte de sp2 (lo que también requeriría que tengas suficientes privilegios para instalarlos, por supuesto). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en 


164
2018-02-10 17:47



También whoami / groups tiene un caso de ventaja donde se obtiene la información incorrecta. Ver stackoverflow.com/questions/4051883/… - zumalifeguard


Creo que puedes escribir en una ventana cmd:

net user USERNAME /domain

Reemplazar USERNAME Con tu propio nombre de usuario, sin prefijo de dominio.


35
2017-11-04 12:18



Increíble; esto me ayuda no solo a ver lo que tengo, sino a lo que otros tienen, lo cual es útil cuando necesito ver por qué otros usuarios no tienen acceso a algo. ¡Excelente trabajo! - Question3CPO
Definitivamente archivará este para el futuro - también se transfiere a powershell. - lunchmeat317
Solo un comentario para decir gracias, esto es mucho más fácil que iniciar sesión en el servidor para verificar grupos, y otra información útil allí también. - Adam Dempsey


Inicio - Ejecutar - CMD - GPRESULT / r es suficiente -> no necesita mostrar el "/ v" completo para visualizar las pertenencias del grupo como cliente-usuario en lo que respecta a AD (bajo Windows 7, seguro, pero No estoy seguro de winxp)


15
2018-04-02 08:36





Si no tienes acceso a AD:

Inicio - Ejecutar - CMD - GPRESULT / v

Verás al final: El usuario forma parte de los siguientes grupos de seguridad.


9
2018-02-10 17:09





Si buscas velocidad, entonces gpresult es la siguiente ... especialmente si hay muchos GPO aplicados.

Simplemente ejecute uno de los siguientes, uno es para el grupo local y el otro para los grupos de dominio:

Local - 'c: \ windows \ system32 \ net.exe localgroup' + 'nombre del grupo a verificar'

Dominio - 'c: \ windows \ system32 \ net.exe grupo / dominio' + 'nombre del grupo a verificar'

Luego analice la salida para el nombre de usuario que está buscando, ya que el resultado mostrará una lista de los usuarios de ese grupo. Espero que esto ayude.


6
2017-07-18 18:27





Con todo el crédito a la respuesta de Greg Bray ... si el resultado excede el tamaño de la pantalla y necesita ver TODO, use el práctico comando redirigir (pipe): ">"para escribir los resultados al archivo.

Entonces se convertiría en algo como esto:

C:\Windows\system32>gpresult /V >c:\group_details.txt

2
2018-03-24 08:05



Un comentario legítimo ... que debe agregarse como un comentario a la respuesta a la que está dando crédito. Esto no califica como una respuesta por sí misma. - SturdyErde