¿Cómo puedo saber de qué grupos de AD soy miembro?

231

Estoy ejecutando un escritorio de Windows XP en un entorno corporativo. ¿Cómo puedo saber a qué grupos de AD pertenezco?

Chris
fuente
44
Bueno, es desde la perspectiva del cliente / escritorio. Sería bastante fácil saber si tuviera acceso a AD.
Chris
@chirs, quizás aclare en su pregunta que quiere decir desde la perspectiva de un cliente en un dominio de Windows.
heavyd

Respuestas:

237

Intente ejecutar el gpresult /Rresumen RSoP o la gpresult /Vsalida detallada desde la línea de comandos como administrador en la computadora. Debería generar algo como esto:

C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

O si ha iniciado sesión en un sistema operativo Windows Server con el módulo ActiveDirectory PowerShell (o el sistema operativo cliente con las herramientas de administración remota del servidor) pruebe el Get-ADPrincipalGroupMembershipcmdlet:

C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales
Greg Bray
fuente
34
Por razones probablemente relacionadas con la configuración de la red de mi cliente, cuando usé / v, recibí un muro gigante de texto con la lista de grupos enterrada en algún lugar dentro. Tuve mucha mejor suerte con gpresult /r.
Jake
15
Un poco de martillo para romper una nuez. WHOAMI es el camino a seguir, o USUARIO NETO <usuario> / dominio, aunque esto trunca grupos con nombres largos.
Simon Catlin
2
Tuve que usar gpresult /r. NET USERsolo se muestran las primeras 3 a 5 membresías grupales.
eddiegroves
Leo esta pregunta cada vez que obtengo un nuevo trabajo. Esta vez es favorito!
Robino
179

Utilizar

whoami /groups

Esto no solo debe enumerar los grupos de seguridad, sino también los grupos de distribución, si recuerdo correctamente (y que también podría ser útil saber). También se encarga de anidar, es decir, estás en el grupo A que está en B, por lo que te muestra como también en B (nuevamente estoy tratando de recordar los detalles aquí).

En Vista y Win7 de forma nativa, para XP probablemente necesite las herramientas de soporte sp2 (lo que también requeriría tener privilegios suficientes para instalarlas, por supuesto). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en

AdamV
fuente
También whoami / groups tiene un caso límite en el que obtienes la información incorrecta. Ver stackoverflow.com/questions/4051883/…
zumalifeguard
43

Creo que puedes escribir en una ventana de cmd:

net user USERNAME /domain

Reemplace USERNAMEcon su propio nombre de usuario, sin prefijo de dominio.

Patrik Lindström
fuente
2
Increíble; Esto me ayuda no solo a ver lo que tengo, sino lo que otros tienen, lo cual es útil cuando necesito ver por qué otros usuarios no tienen acceso a algo. ¡Excelente trabajo!
Pregunta
Definitivamente archivará este para el futuro, también se transfiere a powershell.
lunchmeat317
Solo un comentario para decir gracias, esto es mucho más fácil que iniciar sesión en el servidor para verificar grupos, alguna otra información útil allí también.
Adam Dempsey
16

Inicio - Ejecutar - CMD - GPRESULT / r es suficiente -> no necesita mostrar la "/ v" completa para visualizar las pertenencias del grupo como un cliente-usuario en lo que respecta a AD (en Windows 7 seguro, pero yo no estoy seguro acerca de winxp)

Wojtek Krotoszynski
fuente
9

Si no tiene acceso a AD:

Inicio - Ejecutar - CMD - GPRESULT / v

Verá al final: el usuario forma parte de los siguientes grupos de seguridad

r0ca
fuente
6

Si está buscando velocidad, entonces gpresult es slo w ... especialmente si se aplican muchos GPO.

Simplemente ejecute uno de los siguientes, uno es para grupo local y el otro es para grupos de dominio: -

Local: 'c: \ windows \ system32 \ net.exe localgroup' + 'nombre del grupo para verificar'

Dominio - 'c: \ windows \ system32 \ net.exe group / domain' + 'nombre del grupo para verificar'

Luego, analice la salida para el nombre de usuario que está buscando, ya que el resultado mostrará una lista de los usuarios de ese grupo. Espero que esto ayude.

usuario1673554
fuente
2

Con todo el crédito a la respuesta de Greg Bray ... si el resultado excede el tamaño de la pantalla y necesita ver TODO, use el práctico comando de redirección ("pipe") : " >" para escribir los resultados en el archivo.

Entonces se convertiría en algo como esto:

C:\Windows\system32>gpresult /V >c:\group_details.txt
usuario919426
fuente
2
Un comentario legítimo ... que debe agregarse como un comentario a la respuesta a la que está dando crédito. Esto no califica como una respuesta en sí misma.
SturdyErde