DOMAIN\USER
DOMAIN\GROUP
我有一个以活动目录格式列出的用户列表,需要添加:
ou=group1;ou=group2;ou=group3
自动或手动?
手动的话,我更喜欢使用AdExplorer,这是一个不错的Active Directory浏览器。您只需连接到域控制器,然后就可以查找用户并查看所有详细信息。当然,您需要在域控制器上拥有权限,但不确定是哪种权限。
自动化方面,这取决于您使用的编程语言。对于.NET,System.DirectoryServices命名空间是您的好朋友。(很抱歉,我这里没有任何代码示例)
对于Active Directory,除了如何查询它之外,我并不是真正的专家,但以下两个链接对我很有用:
http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm
http://en.wikipedia.org/wiki/Active_Directory(关于AD结构的一般信息)
作为域管理员登录计算机后,您需要进入Active Directory用户快照中:
从这里,您可以展开域树并搜索(通过右键单击域名)。
您可能不需要特殊权限来查看Active Directory域的内容,尤其是如果您已经在该域上登录。尝试一下,看看你能走多远。
当您搜索某个人时,可以从“视图” ->“选择列”中选择列。这应该有助于您搜索要查找的人或组。
安装“Windows支持工具”,该工具位于Windows Server CD上(如果是Windows 2003 R2,则为CD 1)。 如果您的CD / DVD驱动器是D:,则它将位于D:\ Support \ Tools \ SuppTools.msi中
这为您提供了一些额外的工具来“访问”AD: LDP.EXE-用于读取AD中的信息,但UI有点糟糕。 ADSI Edit- MMC.EXE的另一个插件,您可以使用它浏览AD并获取所有那些令人讨厌的AD属性。
您可以在本地工作站上安装这些工具,并在没有域管理员权限的情况下访问AD。 如果您可以登录到域,您至少可以查询/读取此信息的AD。
OU是组织单位(类似于资源管理器中的子文件夹),而不是组,因此group1、2和3实际上不是组。
您正在寻找DN属性,也称为“distinguishedName”。一旦您获得了它,就可以简单地使用DOMAIN\DN。
编辑:对于组,CN(通用名称)也可以起作用。
来自Active Directory的完整字符串通常如下所示:
cn=Username,cn=Users,dc=DomainName,dc=com
(可能更长或更短,但重要的是,“ou”部分对于您想要实现的目标是无用的。
感谢adeel825和Michael Stum。
我的问题是,我在一个大公司工作,没有权限以域管理员身份登录或查看活动目录,所以我想我的解决方案是尝试获得那个级别的访问权限。
嗯,AdExplorer 运行在你的本地工作站上(这就是为什么我更喜欢它),而且我相信大多数用户都具有对 AD 的读取访问权限,因为这实际上是必要的,但我对此不太确定。