5

特定のグループに関連付けられた Windows ログインを見つける方法を探しています。次のような形式の名前のみを許可するツールにアクセス許可を追加しようとしています:

DOMAIN\USER 
DOMAIN\GROUP

追加する必要がある Active Directory 形式のユーザーのリストがあります。

ou=group1;ou=group2;ou=group3

DOMAIN\Group1 を追加しようとしましたが、「ユーザーが見つかりません」というエラーが表示されます。

PS は、私が LAN 管理者ではないことにも注意してください。

4

7 に答える 7

5

プログラムまたは手動?

手動では、私はAdExplorerを好みます。これは、優れたActiveDirectoryブラウザです。ドメインコントローラーに接続するだけで、ユーザーを探してすべての詳細を確認できます。もちろん、ドメインコントローラに対する権限が必要ですが、どちらかはわかりません。

プログラム的には、それはあなたの言語に依存します。.netでは、System.DirectoryServices名前空間が友だちです。(残念ながら、ここにはコード例はありません)

Active Directoryの場合、クエリの方法を除けば、私は実際には専門家ではありませんが、次の2つのリンクが役立ちます。

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory(ADの構造に関する一般的な情報)

于 2008-08-22T22:21:36.870 に答える
3

マシンにドメイン管理者としてログインした後、ActiveDirectoryユーザースナップインに移動する必要があります。

  1. スタートに移動->実行してmmcと入力します。
  2. MMCコンソールで、[ファイル]->[ファイル]に移動します
  3. スナップインの追加/削除[追加][選択]をクリックします
  4. Active Directoryユーザーとコンピューターを選択し、[追加]を選択します。
  5. [閉じる]を押してから[OK]を押します。

ここから、ドメインツリーを展開して検索できます(ドメイン名を右クリックします)。

Active Directoryドメインのコンテンツを表示するために、特にそのドメインにログインしている場合は、特別な特権は必要ない場合があります。あなたがどこまで到達できるかを見るのは一見の価値があります。

誰かを検索するときは、[表示]->[列の選択]から列を選択できます。これは、探している人やグループを検索するのに役立ちます。

于 2008-08-22T22:23:50.703 に答える
2

Active Directoryを確認するために、ドメイン管理者権限は必要ありませんデフォルトでは、すべての(認証された?)ユーザーがディレクトリから必要な情報を読み取ることができます。

そうでない場合、たとえば、コンピューター(アカウントも関連付けられている)は、ユーザーのアカウントとパスワードを確認できませんでした。

ディレクトリの内容を変更するには、管理者権限のみが必要です。

より制限された権限を設定することは可能だと思いますが、そうではない可能性があります。

于 2008-08-22T23:03:51.497 に答える
0

adeel825とMichaelStumに感謝します。

しかし、私の問題は、私が大企業にいて、ドメイン管理者としてログインしたり、Active Directoryを表示したりするためのアクセス権がないことです。したがって、私の解決策は、そのレベルのアクセス権を取得することだと思います。

于 2008-08-22T22:26:09.073 に答える
0

ええと、AdExplorerはローカルワークステーションで実行され(それが私が好む理由です)、実際に動作するために必要なため、ほとんどのユーザーがADへの読み取りアクセス権を持っていると思いますが、それについてはよくわかりません。

于 2008-08-22T22:37:15.663 に答える
0

OU は組織単位 (エクスプローラーのサブフォルダーのようなもの) であり、グループではありません。したがって、group1、2、および 3 は実際にはグループではありません。

「distinguishedName」とも呼ばれる DN 属性を探しています。DOMAIN\DN を取得したら、単純に使用できます。

編集: グループの場合、CN (共通名) も機能します。

通常、Active Directory からの完全な文字列は次のようになります。

cn=ユーザー名、cn=ユーザー、dc=ドメイン名、dc=com

(長くても短くてもかまいませんが、重要なことは、「ou」の部分は、達成しようとしていることに意味がないということです。

于 2008-08-22T21:57:23.510 に答える
0

Windows Server CD (Windows 2003 R2 の場合は CD 1) にある「Windows サポート ツール」をインストールします。CD/DVD ドライブが D: の場合、D:\Support\Tools\SuppTools.msi にあります。

これにより、AD に「アクセス」するためのいくつかの追加ツールが提供されます。ADSI Edit - MMC.EXE 用のもう 1 つのスナップインで、AD を参照したり、探しているすべての厄介な AD 属性にアクセスしたりできます。

これらのツールをローカル ワークステーションにインストールし、そこからドメイン管理者権限なしで AD にアクセスできます。ドメインにログオンできる場合は、少なくとも AD にこの情報を照会/読み取ることができます。

于 2009-04-30T20:53:19.827 に答える