Jak sprawdzić do jakiej grupy AD należę?

Metoda #1 – (UI) Użytkownicy i komputery usługi Active Directory

Serwer Windows

Na serwerze Windows, funkcja Użytkownicy i Komputery usługi Active Directory (wraz z kilkoma opcjonalnymi narzędziami PowerShell) może być zainstalowana z poziomu Menedżera serwera.
W Menedżerze Serwera kliknij na „Zarządzanie”, a następnie „Dodaj role i funkcje”. Przejść przez kreatora do menu Features (Funkcje) i zainstalować: Narzędzia do zdalnej administracji serwerem > Narzędzia do administracji rolami > Narzędzia AD DS i AD LDS > Narzędzia AD DS.

Windows 10

Kroki mogą się różnić w zależności od posiadanej wersji systemu Windows 10. Na potrzeby tego posta używam systemu Windows 10 Enterprise w wersji 20H2.

W systemie Windows 10 otwórz menu Start, wyszukaj opcję „Zarządzaj funkcjami opcjonalnymi” i otwórz to menu. Na górze kliknij na „Dodaj funkcję”, wyszukaj „RSAT: Active Directory Domain Services and Lightweight Directory Services Tools”, a następnie zainstaluj tę funkcję.

Konieczne może być również zainstalowanie funkcji „RSAT: Server Manager”.

Można teraz wyszukać w menu Start pozycję „Użytkownicy i komputery usługi Active Directory” i uruchomić tę funkcję w systemie Windows Server lub Windows 10.

Użyj lewego paska bocznego do nawigacji w domenie, w dół do kontenerów (folderów, jednostek organizacyjnych itp.), które zawierają użytkowników, znajdź użytkownika, kliknij prawym przyciskiem myszy użytkownika i kliknij Właściwości. W oknie Właściwości przejdź do karty Członkowie, a zobaczysz, do jakich grup należy dany użytkownik.

Chociaż korzystanie z interfejsu użytkownika jest dla niektórych przyjemne, to w żadnym wypadku nie jest to efektywny sposób wyszukiwania tego typu informacji. Prześledźmy kilka prostych zapytań w PowerShell i Wierszu poleceń, które pozwolą uzyskać podobne informacje w ułamku sekundy.

Metoda #2 – Moduł PowerShell Active Directory

Jeśli postępowałeś zgodnie z poprzednimi krokami, aby zainstalować Active Directory Users and Computers, to być może zauważyłeś, że podczas instalacji była również opcja zainstalowania modułu PowerShell Active Directory. Moduł ten sprawia, że wyszukiwanie informacji z Active Directory jest znacznie łatwiejsze niż w interfejsie użytkownika – przykładem może być poniższe zapytanie:

W ten sposób uzyskujemy te same informacje, co na powyższym zrzucie ekranu UI, w znacznie krótszym czasie. Jeśli usuniemy z zapytania nazwę | select, możemy uzyskać dodatkowe informacje o każdej grupie, której członkiem jest użytkownik, takie jak distinguishedName, GroupCategory, GroupScope, objectClass, objectGUID, SamAccountName oraz SID.

Metoda #3 – Wiersz poleceń

Chociaż PowerShell jest bardziej rozbudowany i umożliwia manipulowanie wynikami zapytań w bardziej znaczący sposób, to jednak Command Prompt może być najprostszym podejściem do zbierania informacji o członkostwie w grupie. W rzeczywistości nie musimy niczego instalować z wyprzedzeniem – te polecenia są dostępne w większości wersji systemu Windows.

Najprostszym z nich jest whoami /groups, które wyświetla prostą listę członków grup zarówno domenowych, jak i lokalnych dla użytkownika korzystającego z Wiersza poleceń:

Można zauważyć, że dane wyjściowe są nieco bardziej szczegółowe niż w przypadku omawianego polecenia PowerShell. Jednak wbudowane polecenia Command Prompt są wygodne, jeśli nie mamy możliwości zainstalowania modułu PowerShell Active Directory.

Innym sposobem na wykonanie tego zadania w Command Prompt jest gpresult /r:

Na koniec jest jeszcze polecenie net user:

Należy zauważyć, że istnieją pewne różnice funkcjonalne między tymi zapytaniami o członkostwo w grupach z Wiersza poleceń. Na przykład niektóre polecenia nie uwzględniają niejawnego członkostwa w grupie i wyświetlają tylko jawne grupy.

W związku z tym zalecane jest używanie PowerShell jako pierwszej opcji, następnie metody UI, a w ostateczności Command Prompt (w zależności od zasobów i uprawnień dostępnych dla danego użytkownika).