Windows / Active Directory-Пользователи / Группы

Программно или вручную?

Вручную я предпочитаю AdExplorer, который является хорошим браузером Active directory. Вы просто подключаетесь к контроллеру домена, а затем можете искать пользователя и видеть все детали. Конечно, вам нужны разрешения на контроллере домена, хотя я не уверен, какие именно.

Программно это зависит от вашего языка общения. На .net пространство имен System.DirectoryServices является вашим другом. (К сожалению, у меня здесь нет примеров кода)

Для Active Directory я действительно не эксперт, Кроме того, как запросить его, но вот две ссылки, которые я нашел полезными:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (Общие сведения о структуре AD)

После входа в систему в качестве администратора домена на компьютере необходимо перейти к оснастке пользователи Active Directory:

1. Перейдите в меню Пуск -- > Выполнить и введите mmc.
2. В консоли MMC перейдите к файлу -->
3. Установка И Удаление Оснастки Нажмите Кнопку Добавить Выбрать
4. Пользователи и компьютеры Active Directory и выберите Добавить.
5. Нажмите близко, а затем нажмите OK.

Отсюда вы можете развернуть дерево доменов и выполнить поиск (щелкнув правой кнопкой мыши на доменном имени).

Возможно, для просмотра содержимого домена Active Directory вам не потребуются специальные права доступа, особенно если вы вошли в этот домен. Стоит выстрелить, чтобы увидеть, как далеко вы можете добраться.

Когда вы ищете кого-то, вы можете выбрать столбцы из меню Вид --> выбрать столбцы. Это должно помочь вам найти человека или группу, которую вы ищете.

Вам не нужны права администратора домена, чтобы посмотреть на active directory. По умолчанию любой (аутентифицированный?) пользователь может прочитать необходимую информацию из каталога.

Если бы это было не так, например, компьютер (который также имеет связанную учетную запись) не смог бы проверить учетную запись и пароль своего пользователя.

Вам нужны только права администратора, чтобы изменить содержимое каталога.

Я думаю, что можно установить более ограниченные разрешения, но это маловероятно.

OU-это организационная единица (что-то вроде подпапки в Explorer), а не группа, поэтому group1, 2 и 3 На самом деле не являются группами.

Вы ищете атрибут DN, также называемый "distinguishedName". Вы можете просто использовать DOMAIN\DN, как только у вас это будет.

Edit: для групп может также работать CN (общее имя).

Полная строка из Active Directory обычно выглядит следующим образом:

cn=имя пользователя, cn=пользователи, dc=DomainName, dc=com

(Может быть длиннее или короче, но важно то, что часть "ou" бесполезна для того, чего вы пытаетесь достичь.

Спасибо adeel825 & Майкл Стам.

Однако моя проблема заключается в том, что я нахожусь в большой корпорации и не имею доступа ни к входу в качестве администратора домена, ни к просмотру active directory, поэтому я думаю, что мое решение-попытаться получить этот уровень доступа.

Ну, AdExplorer работает на вашей локальной рабочей станции (именно поэтому я предпочитаю его), и я считаю, что большинство пользователей имеют доступ для чтения к AD в любом случае, потому что это действительно необходимо для работы материала, но я не уверен в этом.

Установите "Windows Support Tools", который находится на сервере Windows CD (CD 1, если это Windows 2003 R2). Если ваш CD/DVD привод D: то он будет в D:\Support\Tools\SuppTools.msi

Это дает вам несколько дополнительных инструментов для "get at" AD: LDP.EXE-хорошо для чтения информации в AD, но UI немного воняет. ADSI Edit-еще одна оснастка для MMC.EXE, с помощью которой вы можете просматривать AD и получать все те надоедливые атрибуты AD, которые вы ищете.

Вы можете установить эти средства на локальную рабочую станцию и получить доступ к AD оттуда без прав администратора домена. Если вы можете войти в домен, вы можете, по крайней мере, запросить/прочитать AD для получения этой информации.