Linux如何查看一个用户属于哪些组-linux运维-PHP中文网

Linux如何查看一个用户属于哪些组

P粉602998670

发布： 2025-09-18 13:58:01

原创

976人浏览过

答案是使用id或groups命令可查看用户所属组，主组决定文件创建默认权限，附加组提供额外访问权限，添加用户到组需用usermod -aG并重新登录，权限不生效常见原因为未重新登录或文件权限、SELinux、网络服务等问题。

linux如何查看一个用户属于哪些组

在Linux系统里，想知道一个用户到底属于哪些组，其实非常简单，最常用的就是

groups

登录后复制

命令或者

id

登录后复制

命令。这两个命令能帮你迅速摸清用户在权限体系里的“势力范围”。

解决方案

说起来，查看用户组信息这事儿，核心就是那几个命令。我个人最常用的是

id

登录后复制

命令，因为它给的信息更全面，不仅仅是组。当你敲下

id 用户名

登录后复制

时，你会看到类似这样的输出：

id testuser
uid=1001(testuser) gid=1001(testuser) groups=1001(testuser),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev)

登录后复制

这里面，

uid

登录后复制

是用户ID，

gid

登录后复制

是主组ID（通常与用户同名），后面跟着的

groups

登录后复制

就是这个用户所属的所有组了，包括主组和所有附加组。它清晰地列出了用户在系统中的所有“身份标签”。

如果你只想看组，那

groups 用户名

登录后复制

更直接，它会只列出所有的组名，像这样：

groups testuser
testuser adm cdrom sudo dip plugdev

登录后复制

我个人觉得，虽然

groups

登录后复制

命令更简洁，但在排查问题或者需要详细信息时，

id

登录后复制

命令的输出会更有价值，因为它直接告诉你了用户的主组（

gid

登录后复制

对应的那一个），以及用户ID。这在某些权限配置或者脚本编写时，能省去不少麻烦。

Linux中，主组和附加组有什么区别？

谈到用户组，就不能不提主组和附加组的区别。这俩玩意儿，说白了，是Linux权限管理里很基础但又特别关键的概念。我刚开始接触Linux的时候，也在这上面绕过不少弯路。

主组 (Primary Group)：每个用户在

/etc/passwd

登录后复制

文件里都有一个默认的组ID（GID），这就是他的主组。当你创建一个新文件或目录时，如果没有特别指定，这个文件或目录的所属组默认就是创建者用户的主组。这就像你出生自带的“家族姓氏”一样，是最基本的身份标识。它的权限影响最直接，比如你创建的文件，默认就是你的主组拥有写权限。

附加组 (Supplementary Groups)：除了主组，用户还可以加入一个或多个附加组。这些组赋予用户额外的权限，让他们可以访问那些主组原本无法访问的资源。比如，一个用户可能需要访问某些系统日志文件，那么他就可以被添加到

adm

登录后复制

组。附加组就像你后来加入的各种“俱乐部”或“社团”，让你拥有了额外的特权。一个用户可以同时属于多个附加组，这在团队协作和精细化权限管理中非常常见。

简单来说，主组决定了你默认创建文件的归属，而附加组则让你能以更多身份去访问其他资源。理解这个区别，对于设置文件权限、排查访问问题，甚至编写一些自动化脚本，都至关重要。否则，你可能会发现明明用户在组里，但某些操作还是被拒绝，很可能就是因为混淆了主组和附加组的作用。

如何将用户添加到现有组或从组中移除？

既然我们知道了组的重要性，那如何管理用户的组关系自然就成了下一个问题。这可不是简单地改改配置文件就能搞定的，得用专门的命令，而且有些坑需要注意。

添加用户到组：最常用的命令是

usermod

登录后复制

。但这里有个小细节，如果你只是用

usermod -G 组名 用户名

登录后复制

，它会把用户从所有其他附加组中移除，只保留你指定的那个组，这往往不是我们想要的。所以，正确且安全的方式是使用

-a

登录后复制

选项，代表

append

登录后复制

（追加）：

sudo usermod -aG 目标组名 用户名

登录后复制

例如，要把用户

testuser

登录后复制

添加到

sudo

登录后复制

组，让他拥有管理员权限，你就得这样：

sudo usermod -aG sudo testuser

登录后复制

。执行完这个命令后，用户需要重新登录（或者使用

newgrp

登录后复制

命令切换到新组的上下文）才能让新的组权限生效。我遇到过不少次，同事抱怨添加了组但权限不生效，一问才知道没重新登录，这都是经验之谈。

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

查看详情

从组中移除用户：这个操作也很直接，我们通常会用

gpasswd

登录后复制

命令的

-d

登录后复制

选项。

sudo gpasswd -d 用户名 目标组名

登录后复制

比如，要从

sudo

登录后复制

组中移除

testuser

登录后复制

，就是：

sudo gpasswd -d testuser sudo

登录后复制

。同样，用户需要重新登录才能使移除生效。移除组权限后，用户将无法再访问该组独有的资源。

记住，这些操作都需要

root

登录后复制

权限或者

sudo

登录后复制

权限。而且，操作前最好确认一下，尤其是涉及到关键组（比如

sudo

登录后复制

）时，避免误操作导致权限混乱。

为什么我给用户添加了组，但权限依然不生效？

这绝对是Linux权限管理里最让人头疼的问题之一，我敢打赌每个Linux管理员都或多或少遇到过。明明

id

登录后复制

命令显示用户已经在组里了，但就是访问不了文件，或者执行不了某个命令，那种抓狂的感觉，你懂的。

遇到这种情况，通常有几个方向可以排查：

用户未重新登录或会话未更新：这是最常见的原因，没有之一。当你用
```
usermod -aG
```
登录后复制
命令把用户加入新组后，当前正在运行的shell会话并不知道这个变化。你必须完全注销（logout）当前用户，然后重新登录（login），或者重启系统，新的组权限才会加载到用户的会话中。当然，你也可以尝试使用
```
newgrp
```
登录后复制
命令临时切换到某个组的上下文，但那只对当前shell有效，不是永久解决方案。所以，第一步，先让用户重新登录！
文件或目录的实际权限设置：即使用户在组里，如果文件或目录的权限（
```
rwx
```
登录后复制
）本身就没有赋予该组相应的权限，或者有ACL（Access Control List）在作祟，用户依然无法访问。用
```
ls -l
```
登录后复制
命令查看文件或目录的权限，确认组权限是否正确。比如，如果文件权限是
```
rw-r--r--
```
登录后复制
，那即使你在文件所属组里，也只能读，不能写。更复杂的情况下，
```
getfacl 文件名
```
登录后复制
可能会揭示ACL的存在，它可能会覆盖传统的文件权限。
SELinux 或 AppArmor 的限制：在一些安全性要求较高的系统上，SELinux 或 AppArmor 可能会对进程和文件访问施加额外的限制，即使你的传统文件权限和组权限都设置正确，它们也可能阻止访问。这通常需要查看系统日志 (
```
audit.log
```
登录后复制
for SELinux) 来诊断，并根据需要调整策略。这块比较复杂，通常不是初学者会遇到的首要问题，但作为排查思路，值得一提。
NFS/NIS/LDAP 等网络环境问题：如果你的用户和组信息是通过网络服务（如NFS、NIS或LDAP）集中管理的，那么权限问题可能出在这些服务本身，或者客户端与服务器之间的同步问题。这时候，你需要检查相关服务的配置和日志，确保用户和组信息在整个网络环境中是一致且最新的。