Утилиту dsget можно использовать для просмотра различной информации об объектах каталога Active Directory.
В этой статье мы покажем, как использовать команду dsget group для отображения информации о разных группах в домене AD.
Чтобы использовать команду dsget, пакет средств администрирования Microsoft Windows – Adminpak.msi (для Windows XP / Windows Server 2003 и ниже) или инструменты доменных служб Active Directory (AD DS) из пакета средств администрирования удаленного сервера (RSAT) (в современных версии Windows) должны быть установлены на вашем компьютере.
Команда dsget group без параметров отображает список всех групп в домене Active Directory (если в домене имеется большое количество групп, команда будет работать довольно долгое время).
Чтобы получить свойства определенной группы AD, выполните следующую команду:
dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com"
Имя группы должно быть указано в формате DistinguishedName (DN).
По умолчанию отображается DN группы и ее описание.
Полный синтаксис и атрибуты, доступные для команды dsget group:
dsget group <GroupDN ...> [-dn] [-samid] [-sid] [-desc] [-secgrp] [-scope] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-c] [-q] [-l] [{-uc | -uco | -uci}] [-part <PartitionDN> [-qlimit] [-qused]]
Например, чтобы узнать SID группы, запустите:
dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -sid
Чтобы проверить тип группы: Безопасность (да) или Распространение (нет), выполните:
dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -secgrp
Чтобы определить членство в группе, вы можете использовать дополнительные параметры группы dsget: -Members и -Memberof.
Параметр -Members указывает, какие пользователи и группы включены в эту группу, и параметр -Memberof, к которому относится эта группа.
Предположим, вы хотите перечислить текущих членов группы Domain Admins. Выполните команду:
dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –members
Чтобы отобразить полный список пользователей, включая вложенные группы (рекурсивно), выполните:
dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –members -expand Similarly, you can get a list of groups in which this group consists: dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –memberof -expand
Как вы можете видеть, последние две команды при отображении списка пользователей / групп возвращают их в формате DN, что не очень удобно.
Поэтому для получения имен пользователей (или других полей) вам необходимо использовать команду в сочетании с dsget user:
dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -members | dsget user -samid -upn -desc
Как вы помните, имя группы для команды dsget group должно быть указано в формате различаемого имени.
Чтобы не указывать DN группы, вы можете использовать команду dsget group вместе с командой dsquery.
Например, чтобы получить список пользователей в группе «Domain Admins» и экспортировать их в текстовый файл, выполните команду:
dsquery group -samid "Domain Admins" | dsget group -members > c:\ps\exportgoupmembers.txt
Как вы можете видеть, теперь вам не нужно указывать DN группы.
Если вы не знаете точное имя группы, вы можете указать только часть имени.
Используется символ подстановки *. Например, вы хотите найти все группы, чьи имена начинаются с NY:
dsquery group -name NY* | dsget group -dn -scope -secgrp
Аналогичным образом вы можете указать, например, все адреса электронной почты пользователей, которые состоят из группы, и сохранить список в файле CSV:
dsquery group -samid "Domain Admins" | dsget group -members | dsget user -email >admin_emails.csv
dsget group “CN=Domain Admins,CN=Users,DC=theitbros,DC=com” -members
Вот эта команда (со своим DN группы, конечно) успешно выдает список DN членов группы. При этом следующая команда:
dsget group “CN=Domain Admins,CN=Users,DC=theitbros,DC=com” -members | dsget user -samid -upn -desc
выдает:
dsget Неудачно:Объект каталога не найден.
Что я делаю не так? Вообще упоминание dsget user в пайпе в любом виде безуспешно.