los dsget La utilidad se puede utilizar para ver información diversa sobre los objetos del catálogo de Active Directory. En este artículo le mostraremos cómo utilizar el grupo dsget comando para enumerar información sobre diferentes grupos en el dominio AD.

Para utilizar el comando dsget, el paquete de herramientas de administración de Microsoft Windows: Adminpak.msi (para Windows XP / Windows Server 2003 y versiones anteriores) o las herramientas de servicios de dominio de Active Directory (AD DS) de las herramientas de administración del servidor remoto (RSAT) (en las versiones modernas de Windows) debe estar instalado en su computadora.

El comando dsget group sin parámetros muestra una lista de todos los grupos en el dominio de Active Directory (si hay una gran cantidad de grupos en el dominio, el comando se ejecutará durante bastante tiempo). Para obtener las propiedades de un grupo de AD específico, ejecute el siguiente comando:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com"

El nombre del grupo debe especificarse en formato DistinguishedName (DN).

De forma predeterminada, se muestran el DN del grupo y su descripción.

La sintaxis y los atributos completos disponibles para grupo dsget comando es:

dsget group <GroupDN ...> [-dn] [-samid] [-sid] [-desc] [-secgrp]  [-scope] [{-s <Server> | -d <Domain>}] [-u <UserName>]  [-p {<Password> | *}] [-c] [-q] [-l] [{-uc | -uco | -uci}]  [-part <PartitionDN> [-qlimit] [-qused]]

Por ejemplo, para averiguar el SID del grupo, ejecute:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -sid

Para verificar el tipo de grupo: Seguridad (sí) o Distribución (no), ejecute:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -secgrp

Determinar la pertenencia a un grupo permite otros parámetros opcionales del comando dsget group: -Miembros y -Miembro de. El parámetro -Members indica qué usuarios y grupos están incluidos en este grupo, y el parámetro -Memberof, a qué grupos pertenece este grupo. Suponga que desea enumerar los miembros actuales del grupo de administradores de dominio. Ejecute el comando:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –members

Para mostrar una lista completa de usuarios, incluidos los grupos anidados (de forma recursiva), ejecute:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –members -expand

Similarly, you can get a list of groups in which this group consists:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" –memberof

-expand

Como puede ver, los dos últimos comandos, al mostrar la lista de usuarios / grupos, los devuelven en formato DN, lo que no es muy conveniente. Por lo tanto, para obtener nombres de usuario (u otros campos), debe usar el comando junto con usuario dsget:

dsget group "CN=Domain Admins,CN=Users,DC=theitbros,DC=com" -members | dsget user -samid -upn -desc

ds obtiene el directorio activo del grupo

Como recordará, el nombre de grupo para el comando dsget group debe especificarse en el formato de nombre distinguido. Para no especificar el DN del grupo, puede utilizar el comando dsget group junto con el comando dsquery. Por ejemplo, para obtener una lista de usuarios en el grupo 'Administradores de dominio' y exportarla a un archivo de texto, ejecute el comando:

dsquery group -samid "Domain Admins" | dsget group -members > c:psexportgoupmembers.txt

Como puede ver, ahora no es necesario especificar el DN del grupo.

Si no conoce el nombre exacto del grupo, puede especificar solo una parte del nombre. Se utiliza el carácter comodín *. Por ejemplo, desea buscar todos los grupos cuyos nombres comiencen con NY:

dsquery group -name NY* | dsget group -dn -scope -secgrp

De manera similar, puede enumerar, por ejemplo, todas las direcciones de correo electrónico de los usuarios que forman parte de un grupo y guardar la lista en un archivo CSV:

dsquery group -samid "Domain Admins" | dsget group -members | dsget user -email >admin_emails.csv

Recomendado para ti