查看:2238|回复：13
高级工程师
昨天因为无聊，重新温习了一下最基本的AD知识，所谓温故而知新，把温习的结果整理了一下。AD里面的group类型从范围来说分为global, universal 和 local domain, 从类型来分分为security和distribution。后面的类型理解很容易，security就是纯粹用来权限访问的，而distribution主要是用来设定群发邮件。前面的类型就稍微复杂一些了。
根据微软论坛上的推荐记忆和楼下筒子的补充，可以按照以下方式理解
本域的最佳实践是
A-&G-&DL-&P
跨域的最佳实践是
A-& G -& U -& DL -& P
A就是账户，G是global group，U是universal group, LD 是local domain group，P代表权限划分
前者可以是后者的成员，但是不能倒过来；同时因为同样类型的组也可以是同类型组的成员，上面的链接可以扩展成
A-&G-&G-&U-&U-&DL-&DL-&P
对于G而已，他的成员范围只能是同一个域；U的成员可以扩展到整个森；而LD的成员可以是任何的域或者森；
比如说我有A域和B域，A域试图访问B域的资源，那么常见的做法，可以在A创建一个Global或者Universal的组，然后B创建一个Local domain的组，把A创建的组作为B组的成员，那么A组的成员即可访问B组的资源。
为了验证这个理论，我做了个小测试， 我创建了4个组如下
TEST1和TEST4都是 global 类型
因此添加成员的时候，只能看见同一个域下的成员
而且只能看见同为Global类型的对象
TEST2是Domain Local
所以能够看见所有的域，和森的结构
也能看见所有类型的组
TEST3 是Universal的
所以只能看见森里面的域,注意和TEST1的区别，前者只能看见自己，这个可以看见整个森的结构和其他的域（虽然我只创建了一个）
然后他只能看见Global和Universal的组
本帖最后由 beanxyz 于
18:47 编辑
中级工程师
很小的一點，深研究還是有很多知識的
高级工程师
引用:原帖由 ping 于
12:28 发表
很小的一點，深研究還是有很多知識的 是哈，都是最基础的知识，但是时间长了不碰就容易混淆
我是一只小小小小牛
引用:原帖由 beanxyz 于
12:40 发表
是哈，都是最基础的知识，但是时间长了不碰就容易混淆 :D1 温故而知新！
虽然是基础，但是这个对日常工作及学习很有大帮助。
很多人急于求成，忽略了这些基础知识。
热衷微软技术，技术成就梦想！
我的博客：
最有价值午饭
似乎有点不太对。
在同一个域里，推荐使用A-G-DL-P
跨域的时候，推荐使用A-G-U-DL-P
我的实验手册里，补充了戴老师的A-G-DL-P
MCITP/MCSE/MCT/MVP&&SQL Server
那些年，我们一起追过的MS SQL Server
http://jimshu.
高级工程师
引用:原帖由 云天英雄 于
15:29 发表
似乎有点不太对。
在同一个域里，推荐使用A-G-DL-P
跨域的时候，推荐使用A-G-U-DL-P 谢谢补充！
高级工程师
引用:原帖由 云天英雄 于
15:29 发表
似乎有点不太对。
在同一个域里，推荐使用A-G-DL-P
跨域的时候，推荐使用A-G-U-DL-P 谢谢补充，已经添加补充
高级工程师
引用:原帖由 jimshu 于
15:29 发表
http://jimshu./473 最佳实践
我的实验手册里，补充了戴老师的A-G-DL-P 谢谢补充~
受教了:loveliness:1 :loveliness:1
沉默是毁谤最好的答覆
“我好像喜欢上你了。” “怎么说的好像你上过我似的。”
很好，温故知新，也让我们重新认识了一下AD组。
中级工程师
请问有没有关于AD的书介绍？
高级工程师
引用:原帖由 binLeung 于
10:08 发表
请问有没有关于AD的书介绍？ 我觉得快速上手的话，你看看微软2012认证方面的参考教材就好了，论坛里就有下载的，不过你的英语不能太差，不然读起来太累。AD其实使用起来并不复杂，自己搭建个平台，测试一下基本常用的功能就知道了。我自己也没把这些官方教材看完，看看新功能有啥，看看视频，再自己倒弄一下就大概知道了，当然深入了解的话就另当别论了查看:4543|回复：7
大家好！如何导出AD内某个成员其隶属于那个组的名称！
假设user1，属于组110OU，group1，group2
那么我想实现一个功能就是通过user1查询到
user 110ou，group1，group2
或者实现只能查询其所隶属于的安全组也行
user&&group1，group2
引用:原帖由 netsys_2010 于
09:53 发表
大家好！如何导出AD内某个成员其隶属于那个组的名称！
假设user1，属于组110OU，group1，group2
那么我想实现一个功能就是通过user1查询到
user 110ou，group1，group2
或者实现只能查询其所隶属于的安全组也行
user&&group ... on error resume next
Dim strUserPath
Set objSysInfo =CreateObject(&ADSystemInfo&)
strUserDN = objSysInfo.UserName
strUserPath = &LDAP://& &strUserDN
Set objUser = GetObject(strUserPath)
For Each strGroupin objUser.MemberOf
strGroupPath = &LDAP://& &strGroup
Set objGroup = GetObject(strGroupPath
strGroupName =
wscript.echostrGroupName
wscript.echo “END”
我的微博：.cn/lzy821218
引用:原帖由 netsys_2010 于
09:53 发表
大家好！如何导出AD内某个成员其隶属于那个组的名称！
假设user1，属于组110OU，group1，group2
那么我想实现一个功能就是通过user1查询到
user 110ou，group1，group2
或者实现只能查询其所隶属于的安全组也行
user&&group ... 重发一下，复制后格式乱了！
on error resume next
Dim strUserPath
Set objSysInfo =CreateObject(&ADSystemInfo&)
strUserDN = objSysInfo.UserName
strUserPath = &LDAP://& &strUserDN
Set objUser = GetObject(strUserPath)
For Each strGroup in objUser.MemberOf
strGroupPath = &LDAP://& &strGroup
Set objGroup = GetObject (strGroupPath)
strGroupName =
wscript.echo strGroupName
wscript.echo &END&
我的微博：.cn/lzy821218
引用:原帖由 netsys_2010 于
09:53 发表
大家好！如何导出AD内某个成员其隶属于那个组的名称！
假设user1，属于组110OU，group1，group2
那么我想实现一个功能就是通过user1查询到
user 110ou，group1，group2
或者实现只能查询其所隶属于的安全组也行
user&&group ... 还有一种方法，这个需要手动输入CN名称，这个更灵活，不是提取本机登录的域户：
on error resume next
Dim strUserPath
Set objSysInfo =CreateObject(&ADSystemInfo&)
userCN = inputbox(&请输入CN&,&用户CN&,&CN=&)
strUserDN = userCN & &,OU=admin,OU=TEST,DC=TEST,DC=51CTO,DC=com&
strUserPath = &LDAP://& &strUserDN
Set objUser = GetObject(strUserPath)
For Each strGroup in objUser.MemberOf
strGroupPath = &LDAP://& &strGroup
Set objGroup = GetObject (strGroupPath)
strGroupName =
wscript.echo strGroupName
wscript.echo &END&
本帖最后由 lzy821218 于
09:53 编辑
我的微博：.cn/lzy821218
引用:原帖由 lzy821218 于
10:59 发表
重发一下，复制后格式乱了！
on error resume next
Dim strUserPath
Set objSysInfo =CreateObject(&ADSystemInfo&)
strUserDN = objSysInfo.UserName
strUserPath = &LDAP://& &strUserDN
Set objUser = GetObject(s ... 我复制还是乱码，只能一行一行的复制并修改！
你这个是VAS脚本，不能实现哦！看代码好像是输出的是组名，没有输出成员，我修改一下吧！
引用:原帖由 netsys_2010 于
10:57 发表
我复制还是乱码，只能一行一行的复制并修改！
你这个是VAS脚本，不能实现哦！看代码好像是输出的是组名，没有输出成员，我修改一下吧！ 这是VBS脚本，我已经测试，没有问题，论坛为了防止盗链，在复制时会自动添加一些乱！楼主不是就要用户所在的组吗？
我的微博：.cn/lzy821218
引用:原帖由 lzy821218 于
11:04 发表
这是VBS脚本，我已经测试，没有问题，论坛为了防止盗链，在复制时会自动添加一些乱！楼主不是就要用户所在的组吗？ 组名称 + 成员！
我可以用Dsget直接可以导出AD内所有的组名，也可以直接导所有的组成员，但是导出的成员内，应该显示组名的那个地方是空白的，也就是下面的样子（空白用*表示）
引用:原帖由 netsys_2010 于
11:21 发表
组名称 + 成员！
我可以用Dsget直接可以导出AD内所有的组名，也可以直接导所有的组成员，但是导出的成员内，应该显示组名的那个地方是空白的，也就是下面的样子（空白 ... 要是用VBS的话就要改了！
我的微博：.cn/lzy821218域网络中如何使用组策略统一域中所有成员的桌面_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
域网络中如何使用组策略统一域中所有成员的桌面
&&计算机知识
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩6页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢本帖子已过去太久远了，不再提供回复功能。