Перенос моей статьи, для истории, из ЖЖ (livejournal.com)

Никак не доходили руки опубликовать скриптов пару полезнейший (для меня). Судя по гуглингу - задачу "влоб" особо народ так и не решил (готовое решение ненайдено). Надеюсь что кому-то они позволят сэкономить пару дней рабочего времени.

Итак задача: получать список пользователей+групп в домене, в подразделении еще где-либо и сохранить это в файле пригодном для экспорта куда-либо.

Решение таково:
- приведенные скрипты универсальны: вопрошать "что треба" надо стандартным LDAP-запросом. (можно спрашивать у конкретного домен-контроллера, можно спросить о конкретной OU. Смотрим в TechNet как формировать LDAP-запрос).
-умеют получать настоящий для юзера logonServer (мало кто заморачивался).
-выдают членов группы 'primary groups' (нигде не встречено).
-работа в доменах windows 2000/2003

Итого от нашего взгляда точно не ускользнут юзера и группы в домене.
В домене 2008 - не тестировал.
В скриптах есть две функции автором коротых выступаю не я (они были до меня, в 12 веке): HexSidToString Integer8Date2


1.
Скрипт номер раз http://pastebin.com/f6c6aee04 Возвращает список юзеров используя указанные данные входные
Howto: cscript domusersenum.vbs "LDAP://dc=mydomain,dc=com" users.txt
Если ненужно получать домен-контроллер авторизовывавший пользователя - внутри скрипта нужно закоментить две строки
RootDomainLDAP=ConstructGlobalDomain(LDAPQuery)
GetDCListForDomain(RootDomainLDAP)

2.
Скрипт номер два http://pastebin.com/fb775a24 Возвращает список групп и всех их участников используя указанный входной запрос
Howto: cscript domgroupsenum.vbs "LDAP://dc=mydomain,dc=com" groups.txt