La capacidad de administrar y mantener listas de usuarios y grupos actualizados es fundamental para la seguridad de una organización.
Uso de la GUI
Hay varias formas de determinar a qué grupos pertenece un usuario. Primero, puede adoptar el enfoque de GUI:
- Vaya a «Usuarios y equipos de Active Directory».
- Haga clic en «Usuarios» o en la carpeta que contiene la cuenta de usuario.
- Haga clic con el botón derecho en la cuenta de usuario y haga clic en «Propiedades».
- Haga clic en la pestaña «Miembro de».
Uso de la línea de comandos
No es tan divertido hacer clic, ¿verdad? ¿Qué tal algunas opciones de línea de comando?
- Abra un símbolo del sistema (cmd.exe o PowerShell)
- Ejecute:
gpresult /V
Obtendrá un resultado que se ve así (lo he truncado para incluir solo la información del grupo):
También puede ejecutar whoami /groups
para obtener información similar. Este comando también enumerará los grupos de distribución y el anidamiento (es decir, si estás en el Grupo A, que en sí mismo es miembro del Grupo B, mostrará el Grupo B).
¿Aún no estás satisfecho? Pruebe net user domain
como otra opción más.
La pregunta más importante
Como puede ver, hay muchas formas de determinar el grupo de Active Directory membresía, manual y programáticamente. Pero la pregunta que casi siempre queda sin respuesta es: «¿A qué exactamente da acceso este grupo?»
Esta es una pregunta especialmente difícil de responder cuando tienes grupos mal nombrados, pero incluso con nombres de grupos prístinos, se cometen errores y casi siempre encontrará que los grupos dan acceso injustificado a los datos.
Próximos pasos prácticos
Entonces, ¿cómo se conectan los puntos entre las membresías de grupos de Active Directory y los archivos , carpetas, sitios de SharePoint y buzones de correo a los que están conectados? Usando solo las herramientas nativas y las opciones de administración de Windows, es una tarea enormemente desalentadora y que requiere mucho tiempo.
Obtenga una demostración individual de Varonis DatAdvantage para ver una forma más sana, fácil y sobre todo más segura de administrar sus usuarios de Active Directory.