Evnen til å administrere og vedlikeholde oppdaterte brukerlister og grupper er avgjørende for sikkerheten til en organisasjon.
Bruke GUI
Det er en rekke forskjellige måter å bestemme hvilke grupper en bruker tilhører. Først kan du følge GUI-tilnærmingen:
- Gå til «Active Directory-brukere og datamaskiner».
- Klikk på «Brukere» eller mappen som inneholder brukerkontoen.
- Høyreklikk på brukerkontoen og klikk på «Egenskaper.»
- Klikk på «Medlem av» -fanen.
Bruk kommandolinjen
Ikke så morsomt å klikke rundt, er det? Hva med noen kommandolinjealternativer?
- Åpne en kommandopromt (cmd.exe eller PowerShell)
- Kjør:
gpresult /V
Du får utdata som ser slik ut (jeg har avkortet den for bare å inkludere gruppeinformasjonen):
Du kan også kjøre whoami /groups for å få lignende informasjon. Denne kommandoen vil også vise distribusjonsgrupper og nesting (dvs. hvis du er i gruppe A som selv er medlem av gruppe B, vil den vise gruppe B).
Ikke fornøyd ennå? Prøv net user domain som enda et alternativ.
Det større spørsmålet
Som du kan se, er det mange måter å finne ut Active Directory-gruppen medlemskap, manuelt og programmatisk. Men spørsmålet som nesten alltid blir ubesvart er: «Hva gir denne gruppen tilgang til?»
Dette er et spesielt vanskelig spørsmål å svare på når du har dårlig navngitte grupper, men selv med uberørte gruppenavn, feil blir gjort, og du vil nesten alltid oppdage at grupper gir uberettiget tilgang til data.
Praktiske neste trinn
Så hvordan kobler du prikkene mellom Active Directory-gruppemedlemskap og filene , mapper, SharePoint-nettsteder og postkasser de er koblet til? Ved å bruke bare de innebygde verktøyene og Windows-administrasjonsalternativene, er det en enormt skremmende og tidkrevende oppgave.
Få en 1-mot-1-demo av Varonis DatAdvantage for å se en sunnere, enklere og fremfor alt sikrere måte å administrere Active Directory-brukerne på.