Evnen til at administrere og vedligeholde opdaterede brugerlister og grupper er afgørende for en organisations sikkerhed.
Brug af brugergrænsefladen
Der er en række forskellige måder at bestemme, hvilke grupper en bruger tilhører. Først kan du følge GUI-tilgangen:
- Gå til “Active Directory-brugere og computere”.
- Klik på “Brugere” eller den mappe, der indeholder brugerkontoen.
- Højreklik på brugerkontoen, og klik på “Egenskaber”.
- Klik på “Medlem af” -fanen.
Brug af kommandolinjen
Ikke så sjovt at klikke rundt, er det? Hvad med nogle kommandolinjemuligheder?
- Åbn en kommandopromt (cmd.exe eller PowerShell)
- Kør:
gpresult /V
Du får output, der ser sådan ud (jeg har afkortet det for kun at inkludere gruppeoplysningerne):
Du kan også køre whoami /groups
for at få lignende oplysninger. Denne kommando viser også distributionsgrupper og indlejring (dvs. hvis du er i gruppe A, der selv er medlem af gruppe B, viser den gruppe B).
Er du ikke tilfreds endnu? Prøv net user domain
som endnu en mulighed.
Det større spørgsmål
Som du kan se, er der mange måder at fastslå Active Directory-gruppen medlemskab, manuelt og programmatisk. Men spørgsmålet, der næsten altid bliver ubesvaret, er: “Hvad giver denne gruppe nøjagtigt adgang til?”
Dette er et særligt vanskeligt spørgsmål at besvare, når du har dårligt navngivne grupper, men selv med uberørte gruppenavne, der begås fejl, og du finder næsten altid, at grupper giver uberettiget adgang til data.
Praktiske næste trin
Så hvordan forbinder du prikkerne mellem Active Directory-gruppemedlemskaber og filerne , mapper, SharePoint-websteder og postkasser, de er tilsluttet til? Brug kun de oprindelige værktøjer og Windows-styringsmuligheder, det er en enorm skræmmende og tidskrævende opgave.
Få en 1-mod-1-demo Varonis DatAdvantage for at se en sundere, lettere og frem for alt mere sikker måde at administrere dine Active Directory-brugere på.