Windows / Active Directory - Пользователь / Группы

Programatically или Manually?

Вручную, я предпочитаю AdExplorer, который является хорошим Браузером каталога Active. Вы просто соединяетесь со своим контроллером домена, и затем можно искать пользователя и видеть все подробности. Конечно, Вам нужны полномочия на Контроллере домена, не уверенном который все же.

Programatically, это зависит от Вашего языка, конечно. На .NET, Системе. Пространство имен DirectoryServices является Вашим другом. (У меня нет примеров кода здесь, к сожалению),

Для Active Directory я не действительно эксперт кроме того, как запросить его, но здесь являюсь двумя ссылками, которые я нашел полезным:

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory (Общие материалы о Структуре AD)

Необходимо перейти к Снимку Пользователей Active Directory В после входа в систему как администратор домена на машине:

1. Пойдите для запуска-> выполненный и тип в mmc.
2. В MMC консоль переходят к Файлу->
3. Добавьте/Удалите, что Снимок - В Нажимает Add Select
4. Пользователи Active Directory и Компьютеры и выбор Добавляют.
5. Хит Близко и затем хит хорошо.

Отсюда можно развернуть доменное дерево и поиск (путем щелчка правой кнопкой по доменному имени).

Вам, возможно, не понадобятся специальные полномочия просмотреть содержание домена Active Directory, особенно если Вы зарегистрированы на том домене. Это стоит того, чтобы попытаться, чтобы видеть, как далеко можно добраться.

При поиске кого-то можно выбрать столбцы из Представления->, Выбирают Columns. Это должно помочь Вам искать человека или группу, которую Вы ищете.

Вам не нужны права администратора домена посмотреть на активный каталог. По умолчанию, кто-либо (аутентифицируемый?) пользователь может считать информацию, в которой Вы нуждаетесь из каталога.

Если бы это не имело место, например, компьютер (который имеет связанную учетную запись также), то не мог проверить аккаунт и пароль его пользователя.

Вам только нужны права администратора для изменения содержания каталога.

Я думаю, что возможно установить более ограниченные полномочия, но это вряд ли имеет место.

OU является Организационной Единицей (вид подобных Подпапка в Проводнике), не, Группа, Следовательно group1, 2 и 3 не является на самом деле группами.

Вы ищете Атрибут DN, также названный "distinguishedName". Можно просто использовать DOMAIN\DN, после того как у Вас есть это.

Править: Для групп мог также работать CN (Общее название).

Полная строка от Active Directory обычно похожа на это:

cn=Username, cn=Users, dc=DomainName, dc=com

(Может быть длиннее или короче, но важный бит - то, что "ou" часть бесполезна, для какого Вы пытаетесь достигнуть.

Ну, AdExplorer работает на Вашей Локальной Рабочей станции (который является, почему я предпочитаю его), и я полагаю, что у большинства пользователей есть доступ для чтения к AD так или иначе, потому что это на самом деле требуется, чтобы материал работал, но я не уверен в этом.

Спасибо adeel825 и Michael Stum.

Моя проблема, тем не менее, я нахожусь в крупной корпорации и не имею доступа, чтобы войти в систему как администратор домена, ни просмотреть активный каталог, таким образом, я предполагаю, что мое решение состоит в том, чтобы попытаться получить тот уровень доступа.

Установите «Средства поддержки Windows», находящиеся на компакт-диске Windows Server (компакт-диск 1, если это Windows 2003 R2). Если ваш привод CD / DVD - D: тогда он будет в D: \ Support \ Tools \ SuppTools.msi

Это даст вам несколько дополнительных инструментов, чтобы «добраться до» AD: LDP.EXE - хорош для чтения информации в AD, но пользовательский интерфейс вроде воняет. Редактор ADSI - еще одна оснастка для MMC.EXE, с помощью которой вы можете просматривать AD и получать доступ ко всем тем раздражающим атрибутам AD, которые вы ищете.

Вы можете установить эти инструменты на локальную рабочую станцию ​​и получать доступ к AD оттуда без привилегии администратора домена. Если вы можете войти в домен, вы можете по крайней мере запросить / прочитать AD для этой информации.