La capacité d’administrer et de maintenir à jour des listes d’utilisateurs et des groupes est essentielle à la sécurité d’une organisation.
Utilisation de l’interface graphique
Il existe plusieurs façons de déterminer les groupes auxquels appartient un utilisateur. Tout d’abord, vous pouvez adopter l’approche GUI:
- Allez dans « Utilisateurs et ordinateurs Active Directory ».
- Cliquez sur « Utilisateurs » ou sur le dossier contenant le compte utilisateur.
- Faites un clic droit sur le compte utilisateur et cliquez sur « Propriétés ».
- Cliquez sur l’onglet « Membre de ».
Utilisation de la ligne de commande
Pas si amusant de cliquer, n’est-ce pas? Que diriez-vous des options de ligne de commande?
- Ouvrez une invite de commande (cmd.exe ou PowerShell)
- Exécutez:
gpresult /V
Vous obtiendrez une sortie qui ressemble à ceci (je l’ai tronquée pour n’inclure que les informations du groupe):
Vous pouvez également exécuter whoami /groups
pour obtenir des informations similaires. Cette commande répertorie également les groupes de distribution et l’imbrication (c’est-à-dire que si vous êtes dans le groupe A qui est lui-même membre du groupe B, elle affichera le groupe B).
Pas encore satisfait? Essayez net user domain
comme une autre option.
La question la plus importante
Comme vous pouvez le voir, il existe de nombreuses façons de vérifier le groupe Active Directory adhésion, manuellement et par programme. Mais la question qui reste presque toujours sans réponse est: « À quoi exactement ce groupe donne-t-il accès? »
C’est une question particulièrement délicate à répondre lorsque vous avez des groupes mal nommés, mais même avec des noms de groupe parfaits, des erreurs sont commises et vous constaterez presque toujours que les groupes donnent un accès non garanti aux données.
Prochaines étapes pratiques
Alors, comment reliez-vous les points entre les appartenances aux groupes Active Directory et les fichiers , les dossiers, les sites SharePoint et les boîtes aux lettres auxquels ils sont connectés? En utilisant uniquement les outils natifs et les options de gestion Windows, c’est une tâche extrêmement ardue et chronophage.
Obtenez une démo individuelle de Varonis DatAdvantage pour voir un moyen plus sain, plus simple et surtout plus sûr de gérer vos utilisateurs Active Directory.