Kyky hallita ja ylläpitää ajantasaisia käyttäjäluetteloita ja -ryhmiä on kriittinen organisaation turvallisuuden kannalta.
GUI: n käyttäminen
On olemassa useita eri tapoja määrittää, mihin ryhmiin käyttäjä kuuluu. Ensin voit käyttää graafista käyttöliittymää:
- Siirry kohtaan ”Active Directory -käyttäjät ja tietokoneet”.
- Napsauta ”Käyttäjät” tai kansiota, joka sisältää käyttäjätilin.
- Napsauta hiiren kakkospainikkeella käyttäjätiliä ja napsauta ”Ominaisuudet”.
- Napsauta ”Jäsen” -välilehteä.
Komentorivin käyttäminen
Ei ole niin hauskaa klikata, vai mitä? Entä jotkut komentorivivaihtoehdot?
- Avaa komentorivi (cmd.exe tai PowerShell)
- Suorita:
gpresult /V
Saat tältä näyttävän ulostulon (olen katkaissut sen sisältämään vain ryhmän tiedot):
Voit myös suorittaa whoami /groups saadaksesi samanlaisia tietoja. Tässä komennossa luetellaan myös jakeluryhmät ja sisäkkäisyydet (ts. Jos olet ryhmässä A, joka on itse ryhmän B jäsen, se näyttää ryhmän B).
Etkö vielä tyytyväinen? Kokeile net user domain vielä yhtenä vaihtoehtona.
Isompi kysymys
Kuten näette, Active Directory -ryhmä voidaan selvittää monin tavoin. jäsenyyden, manuaalisesti ja ohjelmallisesti. Mutta kysymys, joka jää melkein aina vastaamatta, on: ”Mihin tämä ryhmä tarkalleen antaa pääsyn?”
Tämä on erityisen hankala kysymys, johon on vastattava, kun sinulla on huonosti nimettyjä ryhmiä, mutta jopa koskemattomilla ryhmien nimillä virheitä tehdään ja huomaat melkein aina, että ryhmät antavat perusteettoman pääsyn tietoihin.
Käytännön vaiheet
Joten miten yhdistät pisteet Active Directory -ryhmän jäsenyyksien ja tiedostojen välillä , kansiot, SharePoint-sivustot ja postilaatikot, joihin he ovat yhteydessä? Vain natiivityökalujen ja Windowsin hallintavaihtoehtojen avulla se on erittäin pelottava ja aikaa vievä tehtävä.
Hanki yksi-yhteen-demo Varonis DatAdvantage näyttää selkeämmän, helpomman ja ennen kaikkea turvallisemman tavan hallita Active Directory -käyttäjiäsi.