Список всех учетных записей пользователей в группе домена Windows через командную строку?

Вы можете просто использовать PowerShell
в пакетном скрипте, чтобы запустить необходимую логику в cmd, чтобы получить лучшее из обоих миров. Ниже я поместил простой пример, в котором вы просто измените GroupName
значение переменной на группу, к которой вам нужно обратиться, и она предоставит вам список членов этой группы в cmd, как вы и ожидаете.

Поскольку вы сказали, что запускаете это на контроллере домена, просто используйте Get-ADGroupMember
и выполните задачу легко, используя cmd по своему
желанию.

Рассмотрим два простых способа предоставления учетной записи прав локального администратора.

После того, как вы создали учетную запись на сервере Windows Server, часто возникает вопрос, как добавить пользователя в группу локальных администраторов?

В этом статье мы покажем, как добавить пользователя в локальные админы на примере операционной системы Windows Server 2012 R2. Вся информация применима к любым другим поддерживаемым операционным системам Windows. Естественно, для выполнения этих операций учетная запись, выполняющая данные изменения должна обладать административными полномочиями.

September 4, 2010

  net localgroup

  C:\>net localgroup
Aliases for \\techblogger-pc
----------------------------------------------------------------------------
*Administrators
*Backup Operators
*Debugger Users
*Guests
*Network Configuration Operators
*Power Users
*Remote Desktop Users
*Replicator
*Users
The command completed successfully.

Use the below command to know the list of members of a group from command line.

  net localgroup groupName

  net localgroup "Remote Desktop users"

  net user userName

  H:\>net user John
User name                   John
Full Name
Comment
User's comment
Country code                 000 (System Default)
Account active               Yes
Account expires              Never
Password last set            12/2/2010 11:00 PM 
Password expires             4/1/2011 11:00 PM 
Password changeable          12/2/2010 11:00 PM 
Password required            Yes 
User may change password     Yes 
Workstations allowed         All 
Logon script 
User profile 
Home directory 
Last logon 
Logon hours allowed          All 
Local Group Memberships      *Debugger Users       *Users 
Global Group memberships     *None

В этой статье мы рассмотрим несколько примеров использования PowerShell для получения списка пользователей в различных группах Active Directory. Данная статья должна научить вас получать список учетных записей определенной группы AD
и экспортировать полученный список пользователей с различными атрибутами в CSV файл, с которым удобно работать в Excel.

Ранее для построения списка пользователей в группах Active Directory приходилось использовать скрипты VBScript, или утилиты командной строки DSQuery или CSVDE, недостаточно гибкие и удобные.

Для взаимодействия с AD Microsoft разработала специальный модуль Active Directory Module для Windows PowerShell
. Впервые данный модуль появился в Windows Server 2008 R2 и для его использования нужно сначала его загрузить в вашу сессию PowerShell командой:

В Windows Server 2012 / R2 / Windows Server 2016 этот модуль автоматически устанавливается и загружается при установке на сервере роли ADDS (Active Directory Domain Services), т.е. при повышении сервера до контроллера домена
.

Обратите внимание, что для использования в сессии PowerShell модуля ActiveDirectory не обязательно иметь права администратора домена. Получить информацию о пользователях и группах из AD может любой аутентифицированный пользователь домена.

Для получения информации об учетных записях, которые входят в группу безопасности Active Directory используется командлет Get-ADGroupMember
.

В том случае, если вы не знаете точного имени группы, можно вывести список всех групп в AD с помощью команды:

Чтобы отобразить только имена пользователей в группе:

Если в указанной группе содержатся другие группы AD, для вывода членов группы с учетом вложенных групп нужно использовать параметр Recursive

.

Переключатель –recursive
предписывает команде get-adgroupmember получать список пользователей из каждой вложенной группы и выводить только объекты, не являющиеся контейнерами (пользователей или компьютеры). Т.е. данная команда отобразит даже тех пользователей, которые напрямую не входят в группу.

Рассмотрим более сложную конструкцию PowerShell, которая позволяет вывести всех членов определённой доменной группы безопасности с информацией о компании, подразделении и должности с последующей сортировкой и разбивкой на блоки с зависимости от конкретного аттрибута (допустим нам нужно сгруппировать пользователей по полю Компания — company ):

Для выгрузки полученного списка в текстовый файл в конце предыдущей команды нужно добавить конвейер:

Для выгрузки списка пользователей группы в CSV файл нужно добавить такой конвейер:

Можно посчитать общее количество пользователей в группе:

Еще один полезный пример. Попробуем найти все группы AD содержащие в имени шаблон *Manager*, и выведем пользователей, которые входят в эти группы. Чтобы выводить только уникальные объекты, воспользуемся аргументом -uniq
.

Если при выполнении команды Get-ADGroupMember появится ошибка:

Get-ADGroupMember : The specified directory service attribute or value does not exist

Значит в состав группы входят пользователи из других лесов. Командлет Get-ADGroupMember не поддерживает работу с пользователями из разных лесов AD.

Для добавления пользователей в группы AD нужно использовать командлет Add-ADGroupMember
.

Есть ли в командной строке способ перечислить всех пользователей в определенной группе Active Directory?

Чтобы узнать, кто входит в группу, перейдите в « Управление компьютером»
-> « Локальный пользователь / группы»
-> « Группы»
и дважды щелкните группу.

Мне просто нужен способ командной строки для извлечения данных, чтобы я мог выполнять некоторые другие автоматизированные задачи.

   dsget group "CN=GroupName,DC=domain,DC=name,DC=com" -members

Вот еще один способ из командной строки, хотя вы не знаете, насколько автоматизируемым, поскольку вам придется анализировать вывод:

Если группа является «глобальной группой безопасности»:

   net group <your_groupname> /domain

Если вы ищете «локальная группа безопасности домена»:

   net localgroup <your_groupname> /domain

Вот версия команды ds, которую я нашел более полезной, особенно если у вас сложная структура OU и вы не обязательно знаете полное отличительное имя группы.

   dsquery group -samid "Group_SAM_Account_Name" | dsget group -members -expand

или если вы знаете CN группы, обычно такой же, как SAM ID, который указан в кавычках, если в имени есть пробелы:

   dsquery group -name "Group Account Name" | dsget group -members -expand

Как указано в комментариях, по умолчанию команды ds * (dsquery, dsget, dsadd, dsrm) доступны только на контроллере домена. Однако вы можете установить пакет инструментов администратора из средств поддержки на установочный носитель Windows Server или загрузить его
с сайта загрузки Microsoft.

Вы также можете выполнить эти запросы с помощью PowerShell. PowerShell уже доступен в качестве устанавливаемой функции для Server 2008, 2008 R2 и Windows 7, но вам потребуется загрузить WinRM Framework,
чтобы установить его в XP или Vista.

:/> Калькулятор Виндовс 10: как найти и где находится, как обновить или добавить лучший

Чтобы получить доступ к любым AD конкретных командлетов в PowerShell вы ТАКЖЕ
должны выполнить по крайней мере один из следующих установок:

Для клиентов Win 7 и 2008 R2 вы можете установить средства удаленного администрирования сервера
. R SAT также требует,
чтобы вы установили функцию веб-служб Active Directory на свои контроллеры домена Server 2008 R2
или службу шлюза управления Active Directory
для любых контроллеров домена Server 2003/2008
.
Для любого клиента XP или выше загрузите и установите Quest ActiveRoles Management Shell для Active Directory
. Инструменты Quest не требуют никаких дополнительных изменений в ваших DC.

Для решения PowerShell, для которого не требуется надстройка Quest AD, попробуйте следующее

   Import-Module ActiveDirectory

Get-ADGroupMember "Domain Admins" -recursive | Select-Object name

Это будет перечислять и вложенные группы. Если вы не хотите этого делать, удалите ключ -recursive
.

Очень простой способ, который работает на серверах и клиентах:

   NET GROUP "YOURGROUPNAME" /DOMAIN | find /I /C "%USERNAME%"

Возвращает 1, если пользователь находится в группе YOURGROUPNAME, иначе вернет 0

Затем вы можете использовать значение% ERRORLEVEL% (0, если пользователь в группе, 1, если нет), например

   IF %ERRORLEVEL%==0 NET USE %LOGONSERVER%\YOURGROUPSHARE

Здесь ответы используются dsget
и dsquery
будут работать только на серверных версиях Windows, так как эти команды не поставляются в других версиях Windows (например, Windows 7). На машинах без этих команд вы можете получить необходимую информацию с помощью команды AdFind
.

Вот пример запроса для получения членства в группе:

   AdFind.exe -default -f name="Domain Admins" member -list

Как составить список локальных групп и пользователей?

Используйте следующий скрипт powershell, чтобы получить список локальных групп и членов этих групп.

   $server="YourServerName"
$computer = [ADSI]"WinNT://$server,computer"

$computer.psbase.children | where { 

$_.psbase.schemaClassName -eq 'group' } | foreach {
    write-host $_.name
    write-host "------"
    $group =[ADSI]$_.psbase.Path
    $group.psbase.Invoke("Members") | foreach {
$_.GetType().InvokeMember("Name", 'GetProperty', 

$null, $_, $null)}
    write-host
}

Скопируйте текст выше в блокнот и сохраните как filename.ps1
. Затем запустите файл. Я должен отобразить группы и пользователей в каждой группе, или вы можете просто запустить это из powershell.

   dsquery group -name UserGroup1 | dsget group -members | dsget user -display

Я использую рабочий стол Windows XP в корпоративной среде. Как я могу узнать, к каким группам AD я принадлежу?

Попробуйте запустить gpresult /R
сводку RSoP или gpresult /V
подробный вывод из командной строки от имени администратора на компьютере. Это должно вывести что-то вроде этого:

   C:\Windows\system32>gpresult /V

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 2/10/2010 at 10:27:41 AM


RSOP data for OQMSupport01\- on OQMSUPPORT01 : Logging Mode
------------------------------------------------------------

OS Configuration:            Standalone Workstation
OS Version:                  6.1.7600
Site Name:                   N/A
Roaming Profile:             N/A
Local Profile:               C:\Users\-
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    Last time Group Policy was applied: 2/10/2010 at 10:16:09 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSUPPORT01
    Domain Type:                        <Local Computer>

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        System Mandatory Level
        Everyone
        Debugger Users
        IIS_WPG
        SQLServer2005MSSQLUser$OQMSUPPORT01$ACT7
        SQLServerMSSQLServerADHelperUser$OQMSUPPORT01
        BUILTIN\Users
        NT AUTHORITY\SERVICE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        BDESVC
        BITS
        CertPropSvc
        EapHost
        hkmsvc
        IKEEXT
        iphlpsvc
        LanmanServer
        MMCSS
        MSiSCSI
        RasAuto
        RasMan
        RemoteAccess
        Schedule
        SCPolicySvc
        SENS
        SessionEnv
        SharedAccess
        ShellHWDetection
        wercplsupport
        Winmgmt
        wuauserv
        LOCAL
        BUILTIN\Administrators

USER SETTINGS
--------------

    Last time Group Policy was applied: 2/10/2010 at 10:00:51 AM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        OQMSupport01
    Domain Type:                        <Local Computer>

    The user is a part of the following security groups
    ---------------------------------------------------
        None
        Everyone
        Debugger Users
        HomeUsers
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        CONSOLE LOGON
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        NTLM Authentication
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Increase a process working set

Или, если вы вошли в ОС Windows Server с помощью модуля ActiveDirectory PowerShell (или с ОС клиента с помощью средств удаленного администрирования сервера), попробуйте выполнить Get-ADPrincipalGroupMembership
командлет:

   C:\Users\username\Documents> Get-ADPrincipalGroupMembership username | Select name

name
----
Domain Users
All
Announcements
employees_US
remotes
ceo-report
all-engineering
not-sales
Global-NotSales

   whoami /groups

В Vista и Win7 изначально для XP вам, вероятно, понадобятся инструменты поддержки sp2 (что также потребовало бы наличия достаточных прав для их установки, конечно).
http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en

Я думаю, что вы можете написать в окне cmd:

   net user USERNAME /domain

Пуск – Выполнить – CMD – GPRESULT / r достаточно -> вам не нужно отображать полный «/ v» для визуализации групповых принадлежностей в качестве клиента-пользователя в том, что касается AD (наверняка в Windows 7, но я не уверен насчет winxp)

Если у вас нет доступа к AD:

Пуск – Выполнить – CMD – GPRESULT / v

В конце вы увидите:
пользователь входит в следующие группы безопасности

Просто запустите одно из следующего, одно для локальной группы, а другое для групп домена:

Local – ‘c: \ windows \ system32 \ net.exe localgroup’
+ ‘имя проверяемой группы’

Домен – ‘c: \ windows \ system32 \ net.exe group / domain’
+ ‘имя проверяемой группы’

:/> Калькулятор источника питания OuterVision®

Затем проанализируйте выходные данные для искомого имени пользователя, так как в результате появится список пользователей в этой группе. Надеюсь это поможет.

Так что стало бы что-то вроде этого:

   C:\Windows\system32>gpresult /V >c:\group_details.txt

Добавление в группу администраторов при помощи консоли Сomputer Management

Нажмите кнопки Win + X, чтобы открыть консоль управления компьютером — «Сomputer Management»
В списке с левой стороны разверните секцию Computer Management -> System Tools -> Local Users and Groups и выберите пункт Groups.

Щелкните правой кнопкой мыши по группе Administrators , выберите пункт Add to Group , а затем нажмите кнопку Add.
В диалоговом окне «Select Users» в поле «Enter the object names to select» введите имя учетной записи пользователя или группы, которую вы хотите добавить в группу Administrators и нажмите OK.
Если в группу локальных администраторов нужно добавить учетную запись другого компьютера, выберите «Object Types», установите флажок «Computers» и нажмите «ОК». В поле «Enter the object names to select» и укажите имя компьютера.

Добавление пользователя в администраторы с помощью команды net user

Войдите в операционную систему Windows под учетной записью, обладающей правами администратора и запустите командную строку с повышенными привилегиями.

Для того, чтобы вывести список всех локальных учетных записей пользователей в системе введите команду

Как вы видите, в системе имеется 6 учетных записей.

Чтобы добавить учетную запись пользователя root в группу локальных администраторов, выполните следующую команду и нажмите Enter:

В русской версии Windows локальная группа администраторов называется по-другому, поэтому если предыдущая команда вернула ошибку «Указанная локальная группа не существует», воспользуйтесь другой командной:

net localgroup "Администраторы" root /add

Если нужно добавить в администраторы системы учетную запись пользователя домена Active Directory, формат команды будет такой:

Проверить состав группы локальных администраторов можно с помощью команды:

Как вы видите, учетная запись пользователя root теперь является администратором сервера.

Пакетный скрипт (только для членов группы)

Примечание.
Добавьте -Recursive
переключатель, чтобы получить членов других вложенных групп, если это применимо.

   @ECHO OFF

SET "GroupName=Domain Admins"
CALL :DynamicPSScriptBuild

SET PowerShellDir=C:\Windows\System32\WindowsPowerShell\v1.0
CD /D "%PowerShellDir%"
Powershell -ExecutionPolicy Bypass -Command "& '%PSScript%'"
PAUSE
EXIT /B

:DynamicPSScriptBuild
SET PSScript=%temp%\~tmp%~n0.ps1
IF EXIST "%PSScript%" DEL /Q /F "%PSScript%"
ECHO Get-ADGroupMember -Identity "%GroupName%" ^| Select-Object Name>>"%PSScript%"
GOTO :EOF

NET LOCALGROUP

Команда NET LOCALGROUP преназначена для добавления, отображения и изменения локальных групп компьютера в операционной системе Windows. Ввод команды без параметров выводит имя сервера и имена локальных групп компьютера.

Дополнительные ресурсы

Get-ADGroupMember
Get-ADUser
Стандартные псевдонимы
для Foreach-объекта: '%'
символ, ForEach
Стандартные псевдонимы
для Format-List: fl

Синтаксис команды NET USER

имя_пользователя
– Указывает имя учётной записи пользователя, которую можно добавить, удалить, отредактировать или просмотреть. Имя может иметь длину до 20 символов.
пароль
– Присваивает или изменяет пароль пользователя. Введите звездочку (*) для вывода приглашения на ввод пароля. При вводе с клавиатуры символы пароля не выводятся на экран.

/domain
– Выполняет операцию на контроллере основного для данного компьютера домена.

параметры
– Задает параметр командной строки для команды.

net help команда
– Отображение справки для указанной команды net.

/delete –
Удаление учетной записи пользователя.

Примеры команды NET USER

Для вывода списка всех пользователей данного компьютера служит команда: net user
;
Для добавления учетной записи пользователя User1 с полным именем пользователя и паролем 123 используется следующая команда: net user User1 123 /add /fullname:”User1 ” /comment:”Для тестов”;
Для вывода информации о пользователе ” User1″ служит следующая команда: net user User1
;
Для изменения пароля пользователя User1 на пароль 890 служит команда net user User1 890
;
Для отключения учетной записи необходимо ввести команду: net user User1 /active:no
;
Для удаления учетной записи необходимо ввести команду: net user User1 /delete
.

Вопросы от подписчиков и примеры использования Net User

Как включить встроенную учетную запись Администратора? Как получить права администратора в Windows? Для этого нужно ввести команду – net user администратор /active:yes и учетная запись Администратор будет включена (по умолчанию в системе эта учетная запись отключена);
Как создать с помощью net user пользователя с правами администратора? Заранее скажу, используя дополнительно команду Net Localgroup можно добавлять учетные записи в нужную группу – Администраторы, Опытные пользователи или просто в группу Пользователи;
Net user сменить пароль, net user изменить пароль, net user имя_пользователя сделать новый_пароль – эти все моменты мы показали net user User1 890;
Net user отказано в доступе, net user команда выполнена с ошибками. Так, уважаемый пользователь все дело в правах, если вы запускаете командную строку без административных прав (т.е. под обычным пользователем), консоль выведет ошибку;
Net user не найдено имя пользователя – тут еще проще, в системе нету такого пользователя, т.е. скорее всего логин написан с ошибками;
Net user как сделать пустой пароль – Чтобы скинуть пароль пользователя на пустой введем команду net user User1 «»;
Net user как переименовать пользователя? Очень интересный вопрос! Командой net user переименовать не получится, но мы предлагаем вам воспользоваться командой – wmic useraccount where name=’currentname’ rename newname.

Дополнительные параметы команды NET USER

/active:{yes | no} – Активирует или деактивирует учетную запись. Если учетная запись не активирована, пользователь не может получить доступ к серверу. По умолчанию учетная запись активирована.
/comment:”текст” – Позволяет добавить описание учетной записи пользователя
/countrycode:nnn – Использует код страны, указанный для операционной системы, для реализации соответствующих языковых файлов
/expires:{дата | never} – Дата истечения срока действия учетной записи. Значение never соответствует неограниченному сроку действия.
/fullname:”имя” – Полное имя пользователя (в отличии от имени учетной записи пользователя).
/homedir:путь – Указывает путь к домашнему каталогу пользователя. Указанное место должно существовать.
/passwordchg:{yes | no} – Указывает, может ли пользователь изменять свой пароль (по умолчанию может).
/passwordreq:{yes | no} – Указывает, должна ли учетная запись пользователя иметь пароль (по умолчанию должна).
/profilepath[:путь] – Указывает путь к профилю входа в систему пользователя.
/scriptpath:путь – Путь к сценарию, используемому пользователем для входа в систему.
/times:{время | all} – Время для входа в систему. Параметр время указывается в формате день[-день][,день[-день]],час [-час][,час [-час]], причем приращение равняется 1 часу. Название дней недели могут указываться полностью или в сокращенном виде. Часы могут указываться в 12- или 24-часовом представлении. Для 12-часового представления используются обозначения am, pm, a.m. или p.m. Значение all соответствует отсутствию ограничений на время входа в систему, а пустое значение обозначает полный запрет на вход в систему.
/usercomment:”текст” – Позволяет администратору добавить или изменить комментарий к учетной записи.
/workstations:{имя_компьютера[,.] | *} – Позволяет указать до 8 компьютеров, с которых пользователь может войти в сеть. Если для параметра/workstations не указан список компьютеров или указано значение *, пользователь может войти в сеть с любого компьютера.

:/> Как убрать или удалить вторую операционную систему Windows с ноутбука, компьютера. Каким образом можно ликвидировать другую операционных систем на компьютере и в руке?

Управление учетными записями групп

Управление учетными записями групп из командной строки отличается от управления ими из оснастки Active Directory Groups and Computers (Active Directory – Группы и компьютеры) в основном тем, что командная строка предоставляет больше возможностей и упрощает одновременную работу со множеством учетных записей групп.

Если вам нужна информация об учетных записях групп, используйте команду DSQUERY GROUP. Эта команда позволяет вести поиск по простому имени, имени учетной записи в SAM и но описанию. Она также поддерживает символы подстановки в любых из этих полей. Команда DSQUERY GROUP выводит DN групп, удовлетворяющих условиям поиска; ее вывод может быть перенаправлен на вход других команд, в том числе DSGET GROUP.

Обычно вы будете использовать команды DSQUERY GROUP и DSGET GROUP совместно. Сначала с помощью DSQUERY GROUP вы получите DN одной или более групп, а затем выведете свойства соответствующих учетных записей через DSGET GROUP. Вот список наиболее полезных параметров DSGET GROUP:

-Desc — отображает описание найденных учетных записей групп;
-Dn — выводит DN найденных учетных записей групп;
-Samid — выводит имена учетных записей в SAM для найденных учетных записей групп;
-Scope — отображает область действия найденных учетных записей групп (локальная, глобальная или универсальная);
-Secgrp — выводит yes (да), если группа является группой безопасности и по (нет), если это группа распространения;
-Sid — отображает идентификаторы защиты для найденных учетных записей групп.

Как и другие команды DSGET, DSGET GROUP выводит результат в виде таблицы, и обычно нужно добавлять параметр -Dn или -Samid, чтобы идентифицировать группы в выходных данных. Например, если вы хотите найти все группы с именем, начинающимся с «marketing», воспользуйтесь командной строкой вида:

dsquery group -name marketing* | dsget group -dn -scope -secgrp

Определение членства в группах

dsquery group -name AllUsers | dsget group -members

или сами указываете DN группы, например:

dsget group “CN=AllUsers,CN=Users,DC=site1,DC=com’ -members

Возможности команды Net User

Добавить учетную запись;
Добавить пароль учетной записи;
Изменить пароль учетной записи;
Отключить учетную запись;
Удалить учетную запись.

Видео – Полное ознакомление с NET USER (примеры, вопросы на ответы)

Синтакис команды NET LOCALGROUP

имя_группы –
Имя локальной группы для добавления, удаления или раскрытия. При запуске команды net localgroup имя_группы без дополнительных параметров выводится список пользователей или глобальных групп, входящих в локальную группу.

/comment:”текст” –
Добавление комментария для новой или существующей группы. Длина комментария может составлять до 48 знаков. Текст следует заключать в кавычки.

/domain –
Выполнении операции на основном контроллере текущего домена. В противном случае операция осуществляется на локальном компьютере.

имя [ .] –
Список из одного или нескольких имен пользователей или групп для добавления или удаления из локальной группы.

/add –
Добавление глобальной группы или пользователя в локальную группу. Для пользователей или глобальных групп группы, добавляемых в локальную группу, должны иметься учетные записи.

/delete –
Удаление группы или пользователя из локальной группы.

net help localgroup –

Отображение справки для указанной команды net.

Примеры команды NET LOCALGROUP

Чтобы вывести список всех локальных групп на локальном сервере, введите: net localgroup
;
Чтобы добавить локальную группу «Group1» в локальную базу учетных записей пользователей, введите: net localgroup Group1 /add
;
Чтобы добавить локальную группу «Group1» в базу учетных записей пользователей домена, введите: net localgroup Group1 /add /domain;
Чтобы добавить учетные записи существующих пользователей «User1», «User2» и «User3» в группу «Group1» домена, введите: net localgroup Group1 User1 User2 Use3 /add /domain;
Чтобы вывести список пользователей локальной группы «Group1», введите: net localgroup Group1
;
Чтобы добавить комментарий к локальной группе «Group1», введите: net localgroup Group1 /comment:”Руководящий персонал”.

Видео – Работа с утилитой NET LOCALGROUP

Add user to a group

Run the steps below –

Open elevated command prompt

Run the below command

  net localgroup group_name UserLoginName /add

  net localgroup administrators John /add

Few more examples:

  net localgroup users domainname\username /add

This command should be run when the computer is connected to the network. Otherwise you will get the below error.

  H:\>net localgroup users domain\user /add
System error 1789 has occurred.
The trust relationship between this workstation and the primary domain failed.

  net localgroup administrators domainname\username /add

  net localgroup "Remote Desktop Users" UserLoginName  /add

  net localgroup "Debugger users" UserLoginName /add

  net localgroup "Power users" UserLoginName /add

  C:\> net localgroup administrators techblogger /add
System error 5 has occurred.
Access is denied.

When you run the ‘ net localgroup’
command from elevated command prompt:

  C:\>net localgroup administrators techblogger /add
The command completed successfully.

  net localgroup group_name

  net localgroup administrators

Пакетный скрипт (члены группы плюс другие детали)

   @ECHO OFF

SET "GroupName=Domain Admins"
CALL :DynamicPSScriptBuild

SET PowerShellDir=C:\Windows\System32\WindowsPowerShell\v1.0
CD /D "%PowerShellDir%"
Powershell -ExecutionPolicy Bypass -Command "& '%PSScript%'"
PAUSE
EXIT /B

:DynamicPSScriptBuild
SET PSScript=%temp%\~tmp%~n0.ps1
IF EXIST "%PSScript%" DEL /Q /F "%PSScript%"
ECHO $m = Get-ADGroupMember -Identity "domain admins" ^| Select-Object SamAccountName>>"%PSScript%"
ECHO $m ^| %% {Get-ADUser $_.SamAccountName -Properties * ^| Select SamAccountName, DisplayName, Description, accountExpires, ScriptPath, HomeDrive ^| fl }>>"%PSScript%"
GOTO :EOF