[請益] 查詢AD網域內的組織單位架構

作者jayzhuang (Jay)

看板MIS

標題[請益] 查詢AD網域內的組織單位架構

時間Wed Oct 17 15:57:06 2018

各位大神您好! 最近研究有需要我再去挖一個問題：要能知道網域內整個組織單位(OU)的架構。當時我畫這張圖給人員看： https://imgur.com/HArQTFu 人員說是的，也就是能知道它整個公司(UPAS01)，底下分了哪些部門(OU) 又細分了哪些OU、群組。設計上最下層都是使用者，我只有第二層的SD與RD內容都是使用群組，其他都是使用組織單位，顯示如下： https://imgur.com/znjigj9 目前我都是透過dsquery、或是dsget來呈現(也可以轉換成.txt檔案) 但條件設定群組與組織單位(OU)，好像不能同時顯示。像下面就是我查詢使用者，條件為OU公司的名稱，但她第三層如果不是使用OU物件則不能顯示 https://imgur.com/TTyaOSK (簡單來說像RD部門與SD部門沒有顯示群組這個物件) 或是以群組查詢，但她也只會顯示UPAS01這公司有用到的群組資料 https://imgur.com/3R849hx 有辦法可以讓兩者同時出現的指令或查詢方式嗎? 就是某OU(組織單位)底下有多少個OU、群組、使用者。查詢其他資料目前找到這兩個方式 Get-ADGroup -Filter * -SearchBase "OU=Groups,DC=q,DC=com" | Export-Csv -Path "C:\list.csv" Get-ADUser -Filter * -SearchBase "OU=Groups,DC=q,DC=com" | Export-Csv -Path "C:\list.csv" 但也都跟上面查詢差不多..... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.161.102.123 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1539763030.A.B9D.html

→ deadwood: 你要不用直接遠端桌面開AD使用者管理程式比較快? 10/17 16:02

→ deadwood: 不能遠端桌面，找LDAP administration tool這一類的軟體 10/17 16:03

→ deadwood: 直接秀出樹狀目錄最簡單明瞭 10/17 16:03

大大您好~! 因為是需要我寫一隻程式碼來呈現的，我想用比較簡易的文字方式先呈現然後慢慢修改。有能用查詢的方式嗎?(抱歉我只會用c#來加入指令的方式做... 還沒想到其他方法) 不過您說用LDAP這類工具我先去查看看 ※ 編輯: jayzhuang (218.161.102.123), 10/17/2018 16:08:03

→ deadwood: 如果是上面要求一定要用自己寫的那就沒辦法了XD 10/17 16:18

→ konkonchou: C# LDAP DirectorySearcher filter 10/17 20:38

→ konkonchou: 群組 "(&(objectClass=group)(cn="+群組名+"))" 10/17 20:39

→ konkonchou: 使用者 &(objectCategory=person)(objectClass=user) 10/17 20:44

→ konkonchou: 依表看來, 每個使用者至少在AD可以對應到 10/17 20:46

→ konkonchou: 類似SD01-Taipei Taipei-SD SD-UPAS01 這三種關係反查 10/17 20:49

→ konkonchou: 從 root parse 連LDAP LDAP://DC=company,DC=local 10/17 20:55

→ konkonchou: 從 User LDAP://OU=Users,DC=company,DC=local 10/17 20:56

→ konkonchou: 工具沒用過,寫程式從root下去recursive就可以跑出關係 10/17 20:58

→ konkonchou: 可以試試把 OU 那段拿掉再查看看 10/17 21:11