对于 Windows 域,有没有办法查看某个用户或组具有哪些权限?
主要:列出用户可以在某个网络共享上访问的文件/文件夹。(一种递归的“有效权限”)但是,其他权限也很酷。
我相信我曾经见过这种工具的实际作用,但除此之外我就不记得任何事情了——所以这可能是错误的记忆。
有什么建议吗?
答案1
Windows 系统内部有一个工具访问枚举其中指出:“虽然基于 Windows NT 的系统采用的灵活安全模型允许完全控制安全性和文件权限,但管理权限以便用户能够适当访问文件、目录和注册表项可能很困难。没有内置方法可以快速查看用户对目录或项树的访问。AccessEnum 可在几秒钟内让您全面查看文件系统和注册表安全设置,使其成为帮助您查找安全漏洞并在必要时锁定权限的理想工具。”祝你好运!
答案2
该net user命令可能就是您要锁定的命令。语法如下:
net user /domain [username]
样品返回:
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Windows\system32>net user /domain joneswac
The request will be processed at a domain controller for domain MY.SCHOOL.EDU.
User name joneswac
Full Name Wesley P Jones
Comment
User's comment
Country code 000 (System Default)
Account active Yes
Account expires Never
Password last set 5/6/2013 3:51:33 PM
Password expires Never
Password changeable 5/6/2013 3:51:33 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory \\WONDERFULSCHOOL\students\joneswac
Last logon 6/1/2013 3:31:50 PM
Logon hours allowed All
Local Group Memberships
Global Group memberships *SOCIAL AND BEHAVIORAL*IT Boot Camp Admin
*Students *Registered for Classe
*Domain Users *90B SOC SCI TCH PLAN
The command completed successfully.
C:\Windows\system32>
编辑:从命令中删除拼写错误字符
答案3
查看所有登录用户组(也嵌套):
DSQUERY USER -name %Username% | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more
查看所有用户组(也嵌套):
DSQUERY USER -name <user name> | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more
查看全部成员组(也嵌套):
DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -memberof -expand | DSGET GROUP -sid -samid
查看全部成员组(也嵌套):
DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -members -expand | DSGET GROUP -sid -samid
查看当前用户权限,另见/Z /V....../R选项:
GPRESULT /USER %username%
查看当前用户属性:
dsquery * -filter "(samAccountName=%username%)" -attr *
答案4
您还可以使用 ADSISearcher:
([ADSISearcher]"(&(ObjectCategory=User)(cn=Lastname, Firstname))").FindOne().properties
这将仅返回用户的权限,但以完整列表视图显示