La capacità di amministrare e mantenere elenchi di utenti e gruppi aggiornati è fondamentale per la sicurezza di un’organizzazione.
Utilizzo della GUI
Esistono diversi modi per determinare a quali gruppi appartiene un utente. Innanzitutto, puoi adottare l’approccio GUI:
- Vai a “Utenti e computer di Active Directory”.
- Fai clic su “Utenti” o sulla cartella che contiene l’account utente.
- Fare clic con il pulsante destro del mouse sull’account utente e fare clic su “Proprietà”.
- Fare clic sulla scheda “Membro di”.
Utilizzo della riga di comando
Non è così divertente fare clic in giro, vero? Che ne dici di alcune opzioni della riga di comando?
- Apri un comando promt (cmd.exe o PowerShell)
- Esegui:
gpresult /V
Otterrai un output simile a questo (l’ho troncato per includere solo le informazioni sul gruppo):
Puoi anche eseguire whoami /groups
per ottenere informazioni simili. Questo comando elencherà anche i gruppi di distribuzione e la nidificazione (cioè, se sei nel Gruppo A, che è a sua volta un membro del Gruppo B, visualizzerà il Gruppo B).
Non sei ancora soddisfatto? Prova net user domain
come un’altra opzione.
The Bigger Question
Come puoi vedere, ci sono molti modi per accertare il gruppo di Active Directory appartenenza, manualmente e in modo programmatico. Ma la domanda a cui quasi sempre non viene data risposta è: “A cosa dà accesso esattamente questo gruppo?”
Questa è una domanda particolarmente difficile a cui rispondere quando si hanno gruppi con nomi scarsi, ma anche con nomi di gruppo incontaminati, vengono commessi errori e quasi sempre scoprirai che i gruppi danno accesso ingiustificato ai dati.
Passaggi successivi pratici
Quindi, come connettere i punti tra le appartenenze ai gruppi di Active Directory e i file , cartelle, siti di SharePoint e cassette postali a cui sono connessi? Utilizzando solo gli strumenti nativi e le opzioni di gestione di Windows, è un’attività estremamente ardua e che richiede tempo.
Ottieni una demo 1-a-1 di Varonis DatAdvantage per vedere un modo più sano, semplice e soprattutto più sicuro per gestire i tuoi utenti di Active Directory.