Często warto wiedzieć, do jakich grup Active Directory należy użytkownik po dołączeniu do domeny. Informacje te są zazwyczaj łatwe do uzyskania, ale trzeba wiedzieć, gdzie ich szukać.
Dla wielu osób pomocny jest graficzny interfejs użytkownika. Chociaż nie jest to najszybszy sposób na zlokalizowanie przynależności do grupy AD, jest to najlepszy sposób, jeśli chcemy uniknąć wiersza poleceń (np. PowerShell).
Omówimy kilka metod osiągnięcia naszego celu, w tym za pomocą interfejsu użytkownika, PowerShella i Wiersza poleceń
Metoda #1 – (UI) Użytkownicy i komputery usługi Active Directory
Serwer Windows
Na serwerze Windows, funkcja Użytkownicy i Komputery usługi Active Directory (wraz z kilkoma opcjonalnymi narzędziami PowerShell) może być zainstalowana z poziomu Menedżera serwera.
W Menedżerze Serwera kliknij na “Zarządzanie”, a następnie “Dodaj role i funkcje”.
Przejść przez kreatora do menu Features (Funkcje) i zainstalować: Narzędzia do zdalnej administracji serwerem > Narzędzia do administracji rolami > Narzędzia AD DS i AD LDS > Narzędzia AD DS.
Windows 10
Kroki mogą się różnić w zależności od posiadanej wersji systemu Windows 10. Na potrzeby tego posta używam systemu Windows 10 Enterprise w wersji 20H2.
W systemie Windows 10 otwórz menu Start, wyszukaj opcję “Zarządzaj funkcjami opcjonalnymi” i otwórz to menu. Na górze kliknij na “Dodaj funkcję”, wyszukaj “RSAT: Active Directory Domain Services and Lightweight Directory Services Tools”, a następnie zainstaluj tę funkcję.
Konieczne może być również zainstalowanie funkcji “RSAT: Server Manager”.
Można teraz wyszukać w menu Start pozycję “Użytkownicy i komputery usługi Active Directory” i uruchomić tę funkcję w systemie Windows Server lub Windows 10.
Użyj lewego paska bocznego do nawigacji w domenie, w dół do kontenerów (folderów, jednostek organizacyjnych itp.), które zawierają użytkowników, znajdź użytkownika, kliknij prawym przyciskiem myszy użytkownika i kliknij Właściwości. W oknie Właściwości przejdź do karty Członkowie, a zobaczysz, do jakich grup należy dany użytkownik.
Chociaż korzystanie z interfejsu użytkownika jest dla niektórych przyjemne, to w żadnym wypadku nie jest to efektywny sposób wyszukiwania tego typu informacji. Prześledźmy kilka prostych zapytań w PowerShell i Wierszu poleceń, które pozwolą uzyskać podobne informacje w ułamku sekundy.
Metoda #2 – Moduł PowerShell Active Directory
Jeśli postępowałeś zgodnie z poprzednimi krokami, aby zainstalować Active Directory Users and Computers, to być może zauważyłeś, że podczas instalacji była również opcja zainstalowania modułu PowerShell Active Directory. Moduł ten sprawia, że wyszukiwanie informacji z Active Directory jest znacznie łatwiejsze niż w interfejsie użytkownika – przykładem może być poniższe zapytanie:
W ten sposób uzyskujemy te same informacje, co na powyższym zrzucie ekranu UI, w znacznie krótszym czasie. Jeśli usuniemy z zapytania nazwę | select, możemy uzyskać dodatkowe informacje o każdej grupie, której członkiem jest użytkownik, takie jak distinguishedName, GroupCategory, GroupScope, objectClass, objectGUID, SamAccountName oraz SID.
Metoda #3 – Wiersz poleceń
Chociaż PowerShell jest bardziej rozbudowany i umożliwia manipulowanie wynikami zapytań w bardziej znaczący sposób, to jednak Command Prompt może być najprostszym podejściem do zbierania informacji o członkostwie w grupie. W rzeczywistości nie musimy niczego instalować z wyprzedzeniem – te polecenia są dostępne w większości wersji systemu Windows.
Najprostszym z nich jest whoami /groups, które wyświetla prostą listę członków grup zarówno domenowych, jak i lokalnych dla użytkownika korzystającego z Wiersza poleceń:
Można zauważyć, że dane wyjściowe są nieco bardziej szczegółowe niż w przypadku omawianego polecenia PowerShell. Jednak wbudowane polecenia Command Prompt są wygodne, jeśli nie mamy możliwości zainstalowania modułu PowerShell Active Directory.
Innym sposobem na wykonanie tego zadania w Command Prompt jest gpresult /r:
Na koniec jest jeszcze polecenie net user:
Należy zauważyć, że istnieją pewne różnice funkcjonalne między tymi zapytaniami o członkostwo w grupach z Wiersza poleceń. Na przykład niektóre polecenia nie uwzględniają niejawnego członkostwa w grupie i wyświetlają tylko jawne grupy.
W związku z tym zalecane jest używanie PowerShell jako pierwszej opcji, następnie metody UI, a w ostateczności Command Prompt (w zależności od zasobów i uprawnień dostępnych dla danego użytkownika).