3.8K
El complemento gráfico MMC Usuarios y equipos de Active Directory (ADUC) se puede utilizar para ver la lista de grupos de Active Directory de los que el usuario es miembro. Simplemente abra este complemento (ejecute el dsa.msc comando), busque el usuario y vaya a la pestaña Miembro de. Esto muestra la membresía del grupo AD del usuario actual.
Sin embargo, este método solo muestra la membresía directa del usuario en el grupo y no le permite exportar una lista de grupos de ninguna forma. A enumera todos los grupos de los que el usuario es miembro (incluidos los anidados) y exportar la lista a un archivo CSV/TXTes más conveniente utilizar herramientas de línea de comandos o cmdlets de PowerShell.
Enumere los grupos de AD de los que es miembro un usuario con PowerShell
Para verificar la membresía del usuario en grupos de AD, use los cmdlets del módulo PowerShell Active Directory. Utilice uno de los siguientes comandos:
Get-ADPrincipalGroupMembership jbrion | Select name
o
Get-ADUser jbrion -Properties Memberof | Select -ExpandProperty memberOf
Ambos comandos enumeran los grupos de Active Directory que jbrion la cuenta de usuario es miembro de. Sin embargo, el resultado no incluye grupos de AD anidados.
Para incluir la pertenencia a grupos anidados en el resultado, utilice el siguiente script de PowerShell, que utiliza un filtro LDAP simple para comprobar la pertenencia:
$username="jbrion" $filter = "member:1.2.840.113556.1.4.1941:=" + (Get-ADUser $username).DistinguishedName Get-ADGroup -LDAPFilter "($filter)" |select SamAccountName,ObjectClass
Exportar miembros del grupo AD a CSV usando PowerShell
Para exportar el informe de membresía del grupo AD resultante a un archivo de texto o CSV, puede usar el operador >> o el Exportar-CSV cmdlet.
Por ejemplo, exporte la lista de nombres distinguidos (DN) de todos los grupos de los que el usuario es miembro a un archivo TXT simple:
Get-ADUser j.brion -Properties Memberof | Select -ExpandProperty memberOf >> c:\ps\ad_group.txt
O seleccione los atributos del grupo que necesita y exporte la membresía del grupo a un archivo CSV:
Get-ADPrincipalGroupMembership j.brion | Select-Object name,description,GroupCategory,GroupScope,distinguishedName| Export-Csv -NoTypeInformation c:\ps\ad_group.csv -Encoding UTF8
Enumerar los miembros del grupo de Active Directory con PowerShell
En algunos casos, es posible que necesite ver una lista completa de los miembros del grupo AD (incluidos los anidados). Utilice este comando:
Get-ADGroupMember -Identity fs01-salary -Recursive | ft SamAccountName, SID, name
Si necesita agregar atributos de usuario específicos para cada miembro del grupo, agregue el bucle foreach:
Get-ADGroupMember -Identity fs01-salary -Recursive | foreach { Get-ADUser $_ -Properties * } | select displayName,company,department,title,email
Verifique la membresía del grupo AD a través de la línea de comando
También puede enumerar la membresía del grupo del usuario de Active Directory desde el símbolo del sistema usando la herramienta integrada usuario neto dominio:
NET USER username /DOMAIN
La salida del comando contiene el dominio del usuario (Membresías de grupos globales) y Membresías de grupos locales.
Si necesita enumerar todos los usuarios que son miembros de un grupo AD específico desde cmd, use el grupo neto dominio. Por ejemplo:
NET GROUP "group name" /DOMAIN
Si necesita enumerar los grupos de seguridad a los que pertenece su cuenta, ejecute:
whoami /groups