En ligne de commande

Connaitre les groupes dont fait parti un utilisateur

dsquery user -samid [username] | dsget user -memberof -expand | dsget group -samid -secgrp

La commande sort la liste des noms des groupes (-samid) recherchée de manière récursive (-expand) dont fait partie l’utilisateur (-memberof). Les groupes de sécurité et de distribution sont dissociés (-secgrp).

Connaitre les utilisateurs d’un groupe

dsget group "CN=Group,OU=Test,DC=Contoso,DC=local" -members -expand

Afficher les comptes désactivés

dsquery user domainroot -disabled -limit 0

Connaitre les groupes de sécurité et de distribution

dsquery group | dsget group -scope -samid -secgrp

Les groupes de sécurité ont la sécurité à « yes » et les groupes de distribution à « no ».

Requêtes LDAP

Je créer des requêtes sauvegardée afin de pouvoir les réutiliser à volonté.
Quelques requêtes LDAP qui m’ont servies:

Afficher les comptes verrouillés

(&(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1)))

Afficher les comptes actifs

(&(&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))))