我正在寻找一种查找与特定组关联的Windows登录名的方法。我正在尝试向仅允许使用以下格式的名称的工具添加权限：

DOMAIN\USER 
DOMAIN\GROUP

我有一个需要添加的活动目录格式的用户列表：

ou=group1;ou=group2;ou=group3

我尝试添加DOMAIN \ Group1，但收到"找不到用户"错误。

P.S.还应注意，我不是Lan管理员

解决方案

回答

OU是一个组织单位(有点像Explorer中的子文件夹)，而不是一个组，因此group1、2和3实际上不是组。

我们正在寻找DN属性，也称为" distinguishedName"。拥有DOMAIN \ DN后，我们就可以简单地使用它。

编辑：对于组，CN(通用名称)也可以工作。

Active Directory中的完整字符串通常如下所示：

cn=Username,cn=Users,dc=DomainName,dc=com

(可以更长或者更短，但是重要的一点是，" ou"部分对于我们要实现的目标一文不值。

回答

以编程方式还是手动方式？

手动而言，我更喜欢AdExplorer，它是一个不错的Active Directory浏览器。我们只需连接到域控制器，然后就可以查找用户并查看所有详细信息。当然，我们需要在域控制器上的权限，但不确定是哪一个。

从编程上来说，这取决于我们使用的语言。在.net上，System.DirectoryServices命名空间是朋友。 (不幸的是，我这里没有任何代码示例)

对于Active Directory，除了如何查询之外，我并不是专家，但是这里有两个我认为有用的链接：

http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

http://en.wikipedia.org/wiki/Active_Directory(有关AD结构的一般知识)

回答

在计算机上以域管理员身份登录后，需要进入" Active Directory用户"管理单元：

• 转到开始->运行，然后输入mmc。
• 在MMC控制台中，转到"文件"->
• 添加/删除管理单元单击添加选择
• Active Directory用户和计算机，然后选择添加。
• 单击关闭，然后单击确定。

在这里，我们可以展开域树并进行搜索(通过右键单击域名)。

我们可能不需要特殊特权即可查看Active Directory域的内容，尤其是在我们登录该域时。值得一试，看看能走多远。

搜索某人时，可以从视图->选择列中选择列。这应该可以搜索要查找的人或者组。

回答

感谢adeel825和Michael Stum。

我的问题是，尽管我在一家大公司中，但无权以域管理员身份登录或者查看活动目录，所以我想我的解决方案是尝试获得该级别的访问权限。

回答

好吧，AdExplorer在本地工作站上运行(这就是为什么我更喜欢它)，并且我相信大多数用户无论如何都具有对AD的读取访问权限，因为这确实是工作所需的，但是我不确定。

回答

我们不需要域管理员权限即可查看活动目录。默认情况下，任何(经过身份验证的)用户都可以从目录中读取所需的信息。

例如，如果不是这种情况，则一台计算机(也具有关联的帐户)将无法验证其用户的帐户和密码。

我们只需要管理员权限即可更改目录的内容。

我认为可以设置更多受限制的权限，但实际情况并非如此。

回答

安装Windows Server CD(如果为Windows 2003 R2，则为CD 1)上的" Windows支持工具"。如果CD / DVD驱动器为D :，则它将位于D：\ Support \ Tools \ SuppTools.msi中

这为我们提供了一些其他工具来"了解" AD：
LDP.EXE非常适合在AD中读取信息，但UI有点发臭。
ADSI编辑MMC.EXE的另一个管理单元，我们可以使用它浏览AD并找到所需的所有讨厌的AD属性。

我们可以将这些工具安装在本地工作站上，并在没有域管理员权限的情况下从那里访问AD。如果我们可以登录到域，则至少可以查询/读取此信息的AD。