Просмотр групп Active Directory с использованием DSGet group

Утилиту dsget можно использовать для просмотра различной информации об объектах каталога Active Directory.

В этой статье мы покажем, как использовать команду dsget group для отображения информации о разных группах в домене AD.

Чтобы использовать команду dsget, пакет средств администрирования Microsoft Windows — Adminpak.msi (для Windows XP / Windows Server 2003 и ниже) или инструменты доменных служб Active Directory (AD DS) из пакета средств администрирования удаленного сервера (RSAT) (в современных версии Windows) должны быть установлены на вашем компьютере.

Команда  dsget group без параметров отображает список всех групп в домене Active Directory (если в домене имеется большое количество групп, команда будет работать довольно долгое время).

Чтобы получить свойства определенной группы AD, выполните следующую команду:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com"

Имя группы должно быть указано в формате DistinguishedName (DN).

По умолчанию отображается DN группы и ее описание.

Полный синтаксис и атрибуты, доступные для команды dsget group:

dsget group <GroupDN ...> [-dn] [-samid] [-sid] [-desc] [-secgrp]  [-scope] [{-s <Server> | -d <Domain>}] [-u <UserName>]  [-p {<Password> | *}] [-c] [-q] [-l] [{-uc | -uco | -uci}]  [-part <PartitionDN> [-qlimit] [-qused]]

Например, чтобы узнать SID группы, запустите:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -sid

Чтобы проверить тип группы: Безопасность (да) или Распространение (нет), выполните:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -secgrp

Чтобы определить членство в группе, вы можете использовать дополнительные параметры группы dsget: -Members и -Memberof.

Параметр -Members указывает, какие пользователи и группы включены в эту группу, и параметр -Memberof, к которому относится эта группа.

Предположим, вы хотите перечислить текущих членов группы Domain Admins. Выполните команду:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –members

Чтобы отобразить полный список пользователей, включая вложенные группы (рекурсивно), выполните:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –members -expand

Similarly, you can get a list of groups in which this group consists:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –memberof

-expand

Как вы можете видеть, последние две команды при отображении списка пользователей / групп возвращают их в формате DN, что не очень удобно.

Поэтому для получения имен пользователей (или других полей) вам необходимо использовать команду в сочетании с dsget user:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -members | dsget user -samid -upn -desc

Как вы помните, имя группы для команды dsget group должно быть указано в формате различаемого имени.

Чтобы не указывать DN группы, вы можете использовать команду dsget group вместе с командой dsquery.

Например, чтобы получить список пользователей в группе «Domain Admins» и экспортировать их в текстовый файл, выполните команду:

dsquery group -samid "Domain Admins" | dsget group -members > c:\ps\exportgoupmembers.txt

Как вы можете видеть, теперь вам не нужно указывать DN группы.

Если вы не знаете точное имя группы, вы можете указать только часть имени.

Используется символ подстановки *. Например, вы хотите найти все группы, чьи имена начинаются с NY:

dsquery group -name NY* | dsget group -dn -scope -secgrp

Аналогичным образом вы можете указать, например, все адреса электронной почты пользователей, которые состоят из группы, и сохранить список в файле CSV:

dsquery group -samid "Domain Admins" | dsget group -members | dsget user -email >admin_emails.csv

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40