开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何确定帐户的类型(AD用户与AD组)？

要确定帐户的类型（AD用户与AD组），您需要执行以下步骤：

登录到您的域控制器。
打开“Active Directory 用户和计算机”控制台。
在左侧导航窗格中，展开域名，然后单击“用户”或“组”。
在右侧窗格中，找到您要检查的帐户。
右键单击该帐户，然后选择“属性”。
在“属性”窗口中，您可以看到帐户的详细信息。如果它是一个用户帐户，则它将显示为“用户对象”。如果它是一个组帐户，则它将显示为“组对象”。

如果您需要通过编程方式确定帐户类型，可以使用PowerShell脚本。以下是一个示例脚本，用于检查给定帐户名的帐户类型：

$username = "exampleuser"
$adsi = [ADSI]"WinNT://$env:COMPUTERNAME"
$user = $adsi.Children | Where-Object { $_.SchemaClassName -eq 'user' -and $_.Name -eq $username }
if ($user) {
    Write-Host "The account is a user account."
} else {
    $group = $adsi.Children | Where-Object { $_.SchemaClassName -eq 'group' -and $_.Name -eq $username }
    if ($group) {
        Write-Host "The account is a group account."
    } else {
        Write-Host "The account was not found."
    }
}

请注意，此脚本仅适用于本地帐户。要检查Active Directory帐户，您需要使用ADSI或ADO.NET等库连接到域控制器，并查询域中的帐户。

相关搜索:OBIEE -来自AD的用户，但仅来自少数特定组 Users容器内的AD用户与在根目录创建的AD用户之间的差异从给定AD组中的Active Directory获取用户列表多个AD组的用户总数之和如何使用If语句检查AD用户的订阅如何在没有系统用户的情况下在Shiro中搜索AD组？如何将此筛选器从特定AD组更改为组织中的所有AD组？如何将系统用户信息与AD重新同步如何检查AD用户对AD组具有哪些权限？如何编写简单的Powershell脚本将用户分配到AD组

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

使用 AD 诱饵检测 LDAP 枚举和Bloodhound 的 Sharphound 收集器

我们将通过创建一些诱饵帐户（或蜂蜜帐户）并将它们与真实帐户混合来使用欺骗来检测这一点。诱饵帐户是为欺骗目的而创建的帐户，也用于防御以检测恶意行为。...在活动目录中，可以创建用户帐户、组帐户、服务帐户、计算机帐户等形式的诱饵帐户。可以添加相关详细信息，使系统、服务、组等看起来更逼真。...对象的详细信息，包括所有启用的帐户、禁用的帐户、具有 SPN 的帐户、所有组织单位、组策略对象、AD 中的所有安全和非安全组、内置容器中的组等....对诱饵组帐户的枚举尝试： image.png 对诱饵计算机帐户的枚举尝试： image.png 对诱饵用户帐户的枚举尝试： image.png 注意：正如您在上面的屏幕截图中看到的，事件查看器显示了对象名称和对象类型的值...AD 对象进行“读取属性”类型的访问尝试时，此类规则将导致事件，这意味着仅诱饵帐户。

2.5K2 0

蜜罐账户的艺术：让不寻常的看起来正常

我们可以递归枚举 AD 森林中每个域中的管理员组，也可以扫描每个域中用户属性“AdminCount”设置为 1 的所有 AD 用户帐户。...此信息使攻击者能够收集网络会话信息并识别正在使用哪些计算机特权帐户。借助此信息，攻击者可以确定如何破坏单台计算机以获取对管理员凭据的访问权限并破坏 AD。...但是攻击者如何在攻击之前验证多汁的目标（可能存在漏洞的帐户）呢？有一些关键的 AD 用户属性是通过帐户的正常使用而更新的。这包括帐户上次登录的时间、上次登录的位置、上次更改密码的时间等。...有几种方法：将蜜罐帐户添加到具有真实权限的特权 AD 组，并确保其具有长而复杂的密码。一个简单的方法是打开帐户，选中用户选项“使用智能卡登录”，单击应用，然后取消选中应用。...这意味着，如果没有与 LogonWorkstations 中的所有值相关联的计算机帐户，攻击者可能会使用受感染的用户帐户创建新的计算机帐户，并最终将其与未加入的计算机相关联，最终使用这台新加入域的计算机帐户以与蜜罐帐户交互登录

1.6K1 0

Kerberos 黄金门票

] * 域 KRBTGT 帐户 NTLM 密码哈希 * 用于模拟的用户 ID。...金票“限时” 与 Golden Tickets 一样令人难以置信的是，它们被“限制”在欺骗当前域的管理员权限。当 KRBTGT 帐户密码哈希在属于多域 AD 林的子域中公开时存在限制。...当用户使用新帐户登录到 DomainB 时，DomainA SID 与确定访问权限的 DomainB 用户组一起被评估。这意味着可以将 SID 添加到 SID 历史记录以扩展访问权限。...这可能是真的，尽管这种方法存在一些潜在问题：1）我从未在生产环境中看到过这种配置，2）我不确定 Microsoft 对此的支持态度，以及 3）启用 SID 过滤AD 林中的信任可能会破坏依赖于跨域的通用组成员身份的应用程序...这意味着如果您需要帐户隔离，则需要 AD 林，而不是 AD 林中的域。

1.3K2 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

在这篇文章中，我探讨了与此选项相关的危险，它当前是如何配置的（截至 2020 年 5 月）。...我最大的担忧是，对于许多组织而言，管理 Azure AD 和 Office 365 的组通常与管理 Azure 的组不同。这意味着有人可以提升访问权限（想想流氓管理员）而没有人会注意到。...攻击者确定 Acme 在 Azure 中有一些本地 AD 域控制器。为了利用此配置，攻击者决定创建一个新帐户并使用该帐户访问 Azure。...我能确定的唯一明确检测是通过监视 Azure RBAC 组“用户访问管理员”成员身份是否存在意外帐户。您必须运行 Azure CLI 命令来检查 Azure 中的角色组成员身份。...当我通过 Azure AD 到 Azure 访问提升时，我试图确定一个我可以发出警报但无法发出警报的明确事件。

2.5K1 0

攻击 Active Directory 组托管服务帐户 (GMSA)

当我们在 Trimarc 执行 Active Directory 安全评估时，我们发现在 AD 环境中组托管服务帐户的使用有限。应尽可能使用 GMSA 将用户帐户替换为服务帐户，因为密码将自动轮换。...组管理服务帐户 (GMSA) 创建用作服务帐户的用户帐户很少更改其密码。组托管服务帐户 (GMSA)提供了一种更好的方法（从 Windows 2012 时间框架开始）。密码由 AD 管理并自动更改。...与授权控制访问 ( LAPS )的其他领域非常相似，需要仔细考虑确定谁应该被授权访问。组管理服务帐户 (GMSA) 的要点：由 AD 管理的 GMSA 密码。...计算机帐户有权提取密码，但不是该计算机上的用户，因此我提升到 SYSTEM，然后作为关联的 AD 计算机帐户与 AD 交互。现在我可以得到 GMSA 密码了。...减轻确定实际需要的权利，并确保只有所需的有限权利适用于 GMSA。不要添加到 AD 特权组，除非使用 GMSA 的服务器仅限于第 0 层（域控制器）。

1.9K1 0

Active Directory 域安全技术实施指南 (STIG)

AD 信任关系的配置是用于允许一个域中的用户访问另一个域、林或 Kerberos 领域中的资源的步骤之一。当信托被定义... V-36435 高的必须禁止授予特权帐户。...Pre-Windows 2000 Compatible Access 组的创建是为了允许 Windows NT 域与 AD 域互操作，方法是允许未经身份验证的访问某些 AD 数据。默认权限......V-8530 低的必须记录每个跨目录身份验证配置。 AD 外部、林和领域信任配置旨在将资源访问扩展到更广泛的用户（其他目录中的用户）。如果授权的特定基线文件......V-8521 低的具有委派权限的用户帐户必须从 Windows 内置管理组中删除或从帐户中删除委派权限。在 AD 中，可以委派帐户和其他 AD 对象所有权和管理任务。...当发生需要更改 INFOCON 状态的事件时，可能需要采取措施限制或禁用基于外部目录的某些类型的访问...

1.1K1 0

Microsoft 本地管理员密码解决方案 (LAPS)

LAPS 通过为域中每台计算机上的通用本地管理员帐户设置不同的随机密码来解决此问题。使用该解决方案的域管理员可以确定哪些用户（例如帮助台管理员）有权读取密码。...OU 级别的委派使 AD 组能够查看或强制重置计算机本地管理员帐户密码。安装LAPS客户端组件（通过 SCCM 或类似组件），该组件执行密码更改并根据 LAPS GPO 设置更新计算机的属性。...可以在环境中配置扩展权限，这可能允许未经授权的用户访问某些计算机上的 LAPS 密码。有关如何删除扩展权限的其他信息，请参阅 LAPS 操作指南（其中一些位于本文末尾的委派部分。...笔记：由于此解决方案旨在自动更改本地管理员密码并保持此信息的私密性，因此需要深思熟虑确定谁应该能够检索一组计算机上的本地管理员密码。关键是需要仔细设计和部署对密码属性的（读取）访问权限的委派。...本地管理员密码也应至少与计算机 AD 帐户密码一样频繁（每 15 至 30 天）。被委托将计算机加入域的帐户可能能够查看计算机对象上的 LAPS 密码数据。

3.6K1 0

Cloudera安全认证概述

与Active Directory的身份集成在平台中启用Kerberos安全性的核心要求是用户在所有集群处理节点上均具有帐户。...这些帐户应将AD用户主体名称（UPN）设置为 service/fqdn@REALM，并将服务主体名称（SPN）设置为service/fqdn。keytab文件中的主体名称应为帐户的UPN。...特权用户的 AD组-创建AD组并为授权用户，HDFS管理员和HDFS超级用户组添加成员。...相反，管理员将问题升级到的帐户应成为HDFS超级用户组的一部分。...AD测试用户和组 -应该至少提供一个现有的AD用户和该用户所属的组，以测试授权规则是否按预期工作。

2.8K1 0

基于AD Event日志监测AdminSDHolder

Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组，以防止意外和无意的修改并确保对这些对象的访问是安全的。...bypass -Verbose -Rights All （2）执行SDProp 默认情况下，SDProp进程每60分钟在域控制器上运行一次，SDProp将域的AdminSDHolder对象的权限与域中受保护的帐户和组的权限进行比较...，如果任何受保护帐户和组的权限与AdminSDHolder对象的权限不匹配，则将受保护帐户和组的权限重置为与域的AdminSDHolder对象的权限匹配。...，可疑看到bypass非域管用户，却可以将自己添加到“域管理员”组。...5136事件：每次修改 Active Directory 对象时，都会生成此事件，包含帐户名称、目录服务对象名称、操作类型。安全规则：

2133 0

非官方Mimikatz指南和命令参考

MISC::AddSid –添加到用户帐户的SIDHistory.第一个值是目标帐户，第二个值是帐户/组名称(或SID).移至SID：自2016年5月6日起修改....AD计算机帐户的上下文中运行的服务.与kerberos::list不同，sekurlsa使用内存读取，并且不受密钥导出限制.sekurlsa可以访问其他会话(用户)的票证..../sids-具有要票证欺骗的权限的AD林中帐户/组的其他SID.通常，这将是根域"S-1-5-21-1473643419-774954089-5872329127-519"的EnterpriseAdmins.../user-要模拟的用户名 /groups(可选)–用户所属的组RID(第一个是主组).添加用户或计算机帐户RID以获得相同的访问权限.默认组：知名管理员组的513,512,520,518,519(下面列出.../rc4 –服务(计算机帐户或用户帐户)的NTLM hash 白银票据默认组：域用户SID:S-1-5-21 -513 域管理员SID:S-1-5-21 -

2.2K2 0

通过ACLs实现权限提升

，枚举是关键，AD中的访问控制列表(ACL)经常被忽略，ACL定义了哪些实体对特定AD对象拥有哪些权限，这些对象可以是用户帐户、组、计算机帐户、域本身等等，ACL可以在单个对象上配置，也可以在组织单位(.../或下行对象的身份和相应权限，ACE中指定的身份不一定是用户帐户本身，将权限应用于AD安全组是一种常见的做法，通过将用户帐户添加为该安全组的成员，该用户帐户被授予在ACE中配置的权限，因为该用户是该安全组的成员...，如前所述用户帐户将继承用户所属(直接或间接)组中设置的所有资源权限，如果Group_A被授予在AD中修改域对象的权限，那么发现Bob继承了这些权限就很容易了，但是如果用户只是一个组的直接成员，而该组是...Permission组的成员，这允许我们修改域的ACL 如果您有权修改AD对象的ACL，则可以为身份分配权限，允许他们写入特定属性，例如:包含电话号码的属性，除了为这些类型的属性分配读/写权限之外，还可以为扩展权限分配权限...:https://github.com/gdedrouas/Exchange-AD-Privesc 获得作为组织管理组成员的用户帐户并不经常发生，尽管如此，这种技术可以在更广泛的基础上使用，组织管理组可能由另一个组管理

2.2K3 0

企业AD架构规划设计详解

例如，AD DS 存储有关用户帐户的信息，如名称、密码、电话号码等，并使同一网络上的其他授权用户可以访问此信息。...下表中的值基于在具有以下特征的环境中生成的复制流量：新用户以每年 20% 的速率加入林。用户以每年 15% 的速率保留林。每个用户都是五台全局组和五个通用组的成员。...首先，确定林可以承载的用户的最大数量。将其基于域控制器将复制到的林中最慢的链接，以及要分配到 Active Directory 复制的平均带宽量。下表列出了林可包含的最大推荐用户数。...新用户以每年 20% 的速率加入林。用户以每年 15% 的速率保留林。用户是五台全局组和五个通用组的成员。用户与计算机的比率为1:1。使用 Active Directory 集成的 DNS。...5.A架构：站点和服务规划实战在A架构的实验环境实战举例讲解如何规划站点，如何规划子网，讲述站点内和站点间复制原理，举例讲述AD的复制时间是多少，如何优化AD复制时间，如何命令执行站点间AD的复制等等

5.8K2 6

kerberos认证下的一些攻击手法

-774954089-2222329127” / sids --- AD森林中账户/组的额外SID，凭证拥有权限进行欺骗。...Ť / user ---伪造的用户名 / groups（可选）---用户所属的组RID（第一组是主组）。添加用户或计算机帐户RID以接收相同的访问权限。.../ sids（可选） - 设置为AD林中企业管理员组（ADRootDomainSID）-519）的SID，以欺骗整个AD林（AD林中每个域中的AD管理员）的企业管理权限。.../service –运行在目标服务器上的kerberos服务，该服务主体名称类型如cifs，http，mssql等 /rc4 –服务的NTLM散列（计算机帐户或用户帐户） > PS:Server Session...5.2 实战手法 1.SPN扫描具有服务帐户的SQL Server 2.确定目标之后，我们使用PowerShell请求此服务主体名称（SPN）的服务票证。

3K6 1

【壹刊】Azure AD B2C（一）初识

一，引言（上节回顾）　　上一节讲到Azure AD的一些基础概念，以及如何运用 Azure AD 包含API资源，Azure AD 是微软提供的云端的身份标识和资源访问服务，帮助员工/用户/管理员访问一些外部资源和内部资源...Azure AD B2C 还可以与外部用户存储集成，Azure AD B2C 提供一个目录，其中可以保存每个用户的 100 个自定义属性。但是，你也可以与外部系统相集成。...2.2 账户　　用户可以通过使用者帐户登录到通过 Azure AD B2C 保护的应用程序。但是，具有使用者帐户的用户无法访问 Azure 资源（例如 Azure 门户）。...可将使用者帐户关联到以下标识类型：本地标识：将用户名和密码存储在 Azure AD B2C 目录本地。我们通常将此类标识称为“本地帐户”。...当应用程序的用户选择通过使用 SAML 协议的外部标识提供者登录时，Azure AD B2C 将调用 SAML 协议来与该标识提供者通信。

2.2K4 0

CDP私有云基础版用户身份认证概述

与Active Directory的身份集成在平台中启用Kerberos安全性的核心要求是用户在所有集群处理节点上均具有帐户。...这些帐户应将AD用户主体名称（UPN）设置为service/fqdn@REALM，并将服务主体名称（SPN）设置为service/fqdn。keytab文件中的主体名称应为帐户的UPN。...特权用户的AD组-创建AD组并为授权用户，HDFS管理员和HDFS超级用户组添加成员。...相反，管理员将问题升级到的帐户应成为HDFS超级用户组的一部分。...AD测试用户和组-应至少提供一个现有AD用户和该用户所属的组，以测试授权规则是否按预期工作。

2.4K2 0

001.AD域控简介及使用

1.3 域和组的区别工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机各自管理，若要访问其他计算机，需要被访问计算机上来实现用户验证的。...因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码（登录凭证，由DC（域控制器）上的KDC服务来颁发和维护）保护的。...此时，AD 域服务已经安装完成，ADDS域控制器已经安装完成，在完成域控制器的安装后，系统会自动的将该服务器的用户账号转移到 AD 数据库中。...在单击 _tcp 文件夹后可以看到如下所示的界面，其中数据类型为服务位置（SRV）的 _ldap 记录，表示 adserver.imxhy.com 已经正确地注册为域控制器。...计算机右键 -> 属性 -> 高级系统设置 -> 计算机名 -> 更改修改计算机名nodea，修改隶属于域：imxhy.com 点确定之后弹出一个输入在域控中建立的用户的用户名和密码。

3.7K4 0

使用Azure AD B2C为ASP.NET Core 设置登录注册

今天，介绍如何使用 Azure Active Directory B2C (Azure AD B2C) 在 ASP.NET Web 应用程序中进行用户登录和注册。...应用程序可以使用 Azure AD B2C 通过开放式标准协议对社交帐户、企业帐户和 Azure Active Directory 帐户进行身份验证。...点击 “创建” 按钮　　选择 “创建新的 Azure Active AD B2C 租户” 　　输入 “组织名称”,"域名"，“区域”，“资源组”等名称 Organization name：CnBate...不应该使用user flow 来验证这个类型的用户。...下一篇继续介绍如何使用Azure AD B2C 保护的API资源。代码稍等，我会整理一下，上传到github中版权：转载请在文章明显位置注明作者及出处。如发现错误，欢迎批评指正。

1.5K2 0

Adfind的使用

如下：・-b：指定要查询的根节点basedn ・-bit：指定位查询・-f：LDAP过滤条件，指定ldap语法 3. 显示选项下面这几个是显示参数，也就是查询出来之后如何显示的一些参数。...用户相关下面这几个是与用户相关的查询命令。 (1) 查询域管理员以下命令是查询域管理员组中含有哪些用户。...(7) 递归查询指定域用户属于哪些组以下命令是递归查询指定用户属于哪些组。查询指定域用户属性哪些组，并且查询属于的组又属于哪些组，一直递归查询下去。...组相关下面这几个是与组相关的查询命令。...委派相关下面这几个是与委派相关的查询命令。 (1) 非约束性委派如下命令是查询配置了非约束性委派的主机和服务帐户。

2051 0

AD域服务器的搭建（1）–AD域介绍

工作组有时也叫做对等网络，因为网络上每台计算机的地位都是平等的，它们的资源与管理是分散在各个计算机上。...域与工作组的比较工作组结构为分布式的管理模式，适用于小型的网络域结构为集中式的管理模式，适用于较大型的网络。...举例子： 1.Windows Server 2003 域内的目录用来存储用户帐户、组、打印机、共享文件夹等对象的相关数据，把这些对象的存储称为目录数据库。...例如，它负责维护活动目录数据库、审核用户的帐户与密码是否正确、将活动目录数据库复制到其他的域控制器。...AD域域工作组的区别：工作组：分散管理模式 AD域：集中管理模式 AD域管理的优点 AD域用户和组 Windows server 2003域内的组可分为三类：发布者：全栈程序员栈长，转载请注明出处

4.2K2 0

域内计算机本地管理员密码管理

随着互联网技术的不断发现，信息安全在企业中的受重视度也越来越高，终端管理是信息安全中至关重要的一环，不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平，因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要...在中大型企业中，则会使用AD活动目录来进行统一身份认证，此时域用户账号的密码则集中保留中AD数据库中，并且用户权限也是保留在AD中，AD的安全性远高于普通PC，因此安全性大大提升。...允许计算机在Active Directory中更新其自己的密码数据，并且域管理员可以向授权用户或组（如工作站服务台管理员）授予读取权限。...将密码的下一个到期时间报告给Active Directory，并将该属性与计算机帐户的属性一起存储在Active Directory中。更改管理员帐户的密码。...3.删除默认的扩展权限密码存储属于机密内容，如果对电脑所在的OU权限配置不对，可能会使非授权的用户能读取密码，所以从用户和组的权限中删除“All extended rights”属性的权限，不允许读取属性

2.9K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭