Des Weiteren bekommt man die gewünschten Informationen auch über ein Skript:
List All the Members of a Group

Man kann sich auch über eine gespeicherte Abfrage die Mitglieder einer Gruppe anzeigen lassen.
Der Filter dazu könnte folgendermaßen aussehen:

(objectCategory=user)(memberOf=CN=Gruppe,CN=Users,DC=intra,DC=dikmenoglu,DC=de)

Oder in Verbindung mit den ds*-Tools, würde der Filter so aussehen:
(&(objectCategory=user)(memberOf=CN=Gruppe,CN=Users,DC=intra,DC=dikmenoglu,DC=de))

In welchen Gruppen ist ein bestimmter Benutzer?

Möchte man die direkten Gruppenmitgliedschaften bestimmter Benutzer ermitteln, so kann der folgende Befehl verwendet werden:

dsquery user -samid <Benutzername> | dsget user -memberof

oder:

dsget user "DN des Benutzerobjekts" -memberof

Sollen hingegen auch die verschachtelten Gruppenmitgliedschaften angezeigt werden, dann gilt es diesen Befehl auszuführen:

dsget user "DN des Benutzerobjekts" -memberof -expand

bzw.

dsquery user -samid <Benutzername> | dsget user -memberof -expand

Wie können die Mitglieder einer lokalen Gruppe auf einem Arbeitsgruppen-Server angezeigt werden?
Net Localgroup <Gruppe>

Die Mitglieder der Gruppe "Domänen-Benutzer" auflisten

Die Mitglieder der Gruppe Domänen-Benutzer lässt sich nicht auf die herkömmliche Weise Abfragen.
Die Gruppe Domänen-Benutzer (auf englisch: Domain Users), in der standardmäßig jeder Benutzer Mitglied ist
(sofern es nicht manuell geändert wurde), ist eine eher etwas speziellere Gruppe. Denn weder das member Attribut
im Gruppenobjekt, noch das memberof Attribut im Benutzerobjekt enthüllt die Grupenmitgliedschaft der primären Gruppe.
Bei jedem Domänen-Benutzer ist jedoch standardmäßig die Gruppe Domänen-Benutzer als ihre primäre Gruppe gekennzeichnet.
Überprüfen kann man das in den Eigenschaften der Benutzerkonten, im Reiter Mitglied von.

Damit die Mitglieder der Gruppe Domänen-Benutzer aufgelistet werden, muss das Attribut primaryGroupID mit dem Wert 513 abgefragt werden.
Der Gruppe "Domänen-Benutzer" ist nämlich im Attribut primaryGroupToken der Wert 513 zugewiesen.

Um die Mitglieder der Gruppe "Domänen-Benutzer" mit dsquery aufzulisten, muss der folgende Befehl ausgeführt werden:
Dsquery * -Filter "(&(objectCategory=Person)(primaryGroupID=513))" -Limit 0

Mit einer benutzerdefinierten gespeicherten Abfrage, lassen sich die Mitglieder mit folgendem Filter auflisten:
(&(objectCategory=person)(objectClass=user)(primaryGroupID=513))

Weitere Informationen:
How to use native ADSI components to find the primary group
Setting Primary Group Excludes the User from the Group Membership in Active Directory

Dort findet man in den Eigenschaften des Containers CN=Directory Service das Attribut tombstoneLifetime.
Ist dort ein Wert gesetzt, beträgt die Tombstone Lifetime (TSL) den eingetragenen Wert in Tagen.
Steht im Attribut als Wert hingegen <Not Set>, so beträgt die TSL den Standardwert von 60 Tagen.

Die TSL wird mit dem installieren des allerersten DCs in einer Gesamtstruktur und zwar für alle
Domänen festgelegt. Dieser Wert kann nicht pro Domäne konfiguriert werden. Er lässt sich aber manuell verändern.

Die TSL beträgt unter:

- Windows 2000 (mit allen SPs) = 60 Tage

- Windows Server 2003 ohne SP = 60 Tage

- Windows Server 2003 mit Service Pack 1 = 180 Tage

- Windows Server 2003 R2 (mit SP1) = 60 Tage

- Windows Server 2003 mit Service Pack 2 = 180 Tage

- Windows Server 2003 R2 ab Service Pack 2 = 180 Tage

- Windows Server 2008 = 180 Tage
- Windows Server 2008 R2 = 180 Tage

Siehe folgenden Artikel: Das Geheimnis der Tombstone Lifetime

Angenommen man hätte einen Festplatten - Crash in einem Domänencontroller der der einzigste DC der Domäne wäre,
dann gilt es den Server zu reparieren, in Form von Festplatten tauschen und anschließend neu installieren des Betriebssystems
„Windows Server 2003 R2“. Dabei spielt es keine Rolle welchen Computernamen sowie IP - Einstellungen man dem Server vergibt,
denn nach dem rücksichern des System State, bekommt der Server die Daten, die er beim sichern des System State hatte.
Nach dem installieren des Betriebssystems gilt es danach das Betriebssystemeigene Sicherungsprogramm „NTBACKUP“
über „Start - Ausführen - Ntbackup“ zu starten und eine Rücksicherung des System States zu starten (ausgegangen davon,
dass man das SYSTEM STATE über das NTBACKUP sichert). Dabei ist es auch egal auf was gesichert
wurde und welchen Laufwerksbuchstaben das Sicherungslaufwerk hatte.

Nach dem rücksichern und anschließendem neu starten des Servers fehlen die Active Directory - Snap - Ins
wie z.B. Active Directory Benutzer- und Computer oder „Standorte und Dienste“ etc. unter „Start - Programme - Verwaltung“.
Nun könnte man mit „Start - Ausführen - dsa.msc“ (für AD- Benutzer- und Computer) oder dssite.msc (für AD-Standorte- und Dienste)
die Snap - Ins aufrufen. Eine andere Alternative wäre, dass man sich selbst eine MMC erstellt und diese
ganzen Snap-Ins dort hinzufügt und speichert. Wer das alles nicht will und den gewohnten „Standard“ haben möchte,
sprich, die ganzen Snap-Ins unter „Start - Programme - Verwaltung“ haben möchte, der installiert sich das „Adminpack.msi“
aus %systemroot\system32\ und bekommt anschließend das gewohnte Bild unter „Start - Programme -Verwaltung“.

Zum Schluss müsste noch das DNS sowie DHCP installiert und konfiguriert werden.

Es gibt auch eine Möglichkeit, dass DCPROMO mit dem Schalter „/ADV“ auszuführen. Das wäre für den Fall ideal,
wenn man z.B. einen weiteren Server zum Domänencontroller promoten möchte, dieser aber an einem Standort mit einer
geringen Anbindung steht. Damit eben nicht die komplette Active Directory - Datenbank repliziert werden muss, sichert
man an einem bestehenden DC der Domäne, zu der der neue Server als weiterer DC heraufgestuft wird, dass System State
und kopiert dieses auf eine externe Fesplatte oder CD/DVD. Damit stuft man dann den neuen Server zum DC und anschließend
muss dann nur noch die Änderung seit der erstellten System State Sicherung repliziert werden.

Weitere Inforamtionen:
Domänencontroller-Installation von einer Sicherung
Install from Media