как узнать в какие группы входит пользователь windows
Windows admin blog
Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver
AD: узнать в каких группах состоит пользователь / прямое и косвенное членство
В этой статье речь пойдет о том, как вывести список групп, в которых состоит пользователь. Конечно, это можно сделать из GUI, но не всегда такой вывод удовлетворяет цели.
Также, через GUI вы не определите ПОЛНЫЙ список членства (т.н. косвенное членство), когда одни группы могут быть вложены в другие.
Если группа, в которой состоит пользователь, является вложенной группой другой группы — пользователь наделяется полномочиями, заданными конечной группе, хотя и не является ее членом напрямую. Эту группу вы не увидите на вкладке пользователя «Член групп» (Member of)
Рассмотрим в рамках этой статьи следующие инструменты:
1) Whoami /groups
Правда вывод не очень удобен для восприятия. Будут отображены все группы с прямым и косвенным членством
2) Утилита dsget
Вывести список групп, в которых состоит пользователь:
(в данном примере выводим список групп, в которых состоит пользователь Peter Parker, находящийся в OU «IT department\Support team»)
Следующая команда отобразит расширенный список групп, в т.ч. в которых косвенно состоит пользователь (ключ -expand)
Утилита dsget доступна только на контроллерах домена
3) Get-ADUser
Для выполнения командлета Get-ADUser требуется установить Powershell модуль Active-Directory.
Чтобы вывести список групп требуемого пользователя в удобном формате, необходимо выполнить следующий конвейер команд в powershell:
Примечание: данная команда выведет прямое членство (по сути, содержимое закладки пользователя «Член групп» (Member of)
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Как я могу узнать, в каких группах AD я состою?
Я использую рабочий стол Windows XP в корпоративной среде. Как я могу узнать, к каким группам AD я принадлежу?
Попробуйте запустить gpresult /R сводку RSoP или gpresult /V подробный вывод из командной строки от имени администратора на компьютере. Это должно вывести что-то вроде этого:
Или, если вы вошли в ОС Windows Server с помощью модуля ActiveDirectory PowerShell (или с ОС клиента с помощью средств удаленного администрирования сервера), попробуйте выполнить Get-ADPrincipalGroupMembership командлет:
Это должно не только перечислить группы безопасности, но и группы рассылки, если я правильно помню (и что также может быть полезно знать). Также заботится о вложенности, т. Е. Вы находитесь в группе A, которая находится в B, поэтому она показывает вам также, как и в B (снова я пытаюсь вспомнить детали здесь).
В Vista и Win7 изначально для XP вам, вероятно, понадобятся инструменты поддержки sp2 (что также потребовало бы наличия достаточных прав для их установки, конечно). http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en
Я думаю, что вы можете написать в окне cmd:
Замените USERNAME на свое имя пользователя без префикса домена.
Если у вас нет доступа к AD:
В конце вы увидите: пользователь входит в следующие группы безопасности
Просто запустите одно из следующего, одно для локальной группы, а другое для групп домена:
Затем проанализируйте выходные данные для искомого имени пользователя, так как в результате появится список пользователей в этой группе. Надеюсь это поможет.
Как получить в Powershell список групп и их пользователей
Навигация по посту
Примеры с Get-ADGroup Filter
Если мы хотим вывести, например, только список групп безопасности, то можно сделать это так:
Свойств, которые мы бы хотели вывести или сравнить достаточно много и что бы увидеть их все выполните:
Можно делать сравнивание по нескольким значениям. Если я хочу получить группы созданные 20 дней назад, а так же что бы их тип был Distribution (группа распространения), мне следует сделать так:
Другие примеры рассматриваются дальше.
Получаем список пользователей группы в Powershell Get-ADGroup
Мы можем найти данные по группе указав только имя. В моем случае я ищу группу, где имя заканчивается на marketing:
Разница этих двух вариантов в том, что в первом случае мы получаем укороченную информацию о пользователях, а во втором более подробный список.
Для получение пользователей можно сделать и так, но в этом варианте есть минус, что мы должны писать точное соответствие имени:
В описании на сайте Microsoft пишут, что в нем появляется ошибка только в случае, если командлет возвращает более одной группы (в случае использования масок), но у меня так и не получилось это сделать. Вместо имени мы можем использовать SID и GUID.
Получение в Powershell групп пользователя
Если мы хотим узнать какую либо подробную информацию о группе сделайте так:
Мы можем найти группы пользователя и так:
Но минус этого способа в том, что он будет выполняться дольше. Возможно это будет не заметно с 1000 пользователями, а вот с 50000 может.
Чем отличается администратор и обычный пользователь Windows
Прежде чем объяснить, в чём разница между обычным пользователем и администратором Windows, давайте посмотрим, как пользователи классифицируются в операционных системах Microsoft.
Windows классифицирует пользователей компьютеров по двум различным типам: стандартная учетная запись и учетная запись администратора. Стандартная учетная запись пользователя имеет ограниченные административные привилегии. Она может использовать большинство программ, но не может изменить системные настройки. Она не может устанавливать или удалять программы и компоненты оборудования, удалять файлы, необходимые для работы компьютера, и вносить изменения, которые влияют на других пользователей или защищают операционную систему.
Аккаунт Администратора имеет полный контроль над компьютером. Он может устанавливать и удалять любую программу, изменять все настройки ПК и вносить изменения в стандартные учетные записи.
Давайте попытаемся понять, в чём разница между обычным пользователем и администратором, объяснив, какие основные действия может выполнять каждый из них.
Что может сделать обычный пользователь Windows
Стандартный пользователь Windows может:
Что может сделать администратор Windows
Пользователь с правами администратора Windows может:
Аккаунты пользователей и безопасность
Разница между обычным пользователем и администратором, в основном, касается возможности выполнять или не выполнять действия, которые могут поставить под угрозу безопасность компьютера.
Даже если мы используем стандартную учетную запись пользователя, можно выполнять действия, требующие административных привилегий. Однако, для этого необходимо указать пароль учетной записи администратора. Если обычный пользователь хочет выполнить административную задачу, Windows запросит пароль администратора, используя управление учетными записями пользователей, прежде чем продолжить.
На этапе установки операционной системы Windows автоматически создает учетную запись пользователя. Эта учетная запись всегда является учетной записью администратора.
Важно: Windows всегда требует наличия учетной записи администратора на компьютере. Если на компьютере есть только одна учетная запись, то это, безусловно, пользователь с правами администратора. Если на компьютере несколько учетных записей, мы можем увидеть, являются ли они обычными пользователями или администраторами.
Как проверить права учетной записи
После объяснения, в чём разница между обычным пользователем и администратором, давайте посмотрим, как определить, какой из них мы используем.