Неблагодарное это занятие без доступа к базе данных (или применения атаки на неё).
А если этих пользователей легион?Или ресурс расположен на нескольких серверах?

Проще работать по конкретному количеству пользоватей,создав словарь.
Подойдут все инструменты с атакой брутфорса и функцией перечисления.

Помимо этого,если всё же времени вагон,то можно скриптами nmap пользоваться.
Они конечно под частные в основном случаи,в зависимости от типа ресурса,сервисов и т.д.
Есть конкретно ,например,для wordpress и перечисления пользователей.
Есть и другие:
nmap-smb-brute - будет брутить,пытаться проверить вход,но составляется список в итоге
действующих пользов-телей.
finger - перечисление,если используется такая функция
http-svn-enum - перечислит польз-й ,если если используется хранилище subversion
snmp-win32-users - перечисление через протокол snmp
rugers - используется доступ к службе rpc и перечисление неавторизованных польз-й
smb-server-stats - зарегистрир.польз-ли ,в том числе админки
smtp-enum-users - перечисление польз-й сервера smtp
mysql-users - перечисление польз-й на этом сервере
oracle-enum-users - то же,только польз-й базы oracle
( не получится,если оборудование обновлено после 2009г.)
http-user-dir-enum - если на веб-сервере использ-ся модуль управления mod_userdir

Инструмент ident-user-enum - определяет владельцев процессов,которые торчат на конкретном tcp-соединении
Red-Hawk - не всех,но часть может найти,имеющих прямое отношение к домену.