Możliwość administrowania i utrzymywania aktualnych list użytkowników i grup ma kluczowe znaczenie dla bezpieczeństwa organizacji.
Korzystanie z GUI
Istnieje wiele różnych sposobów określenia grup, do których należy użytkownik. Najpierw możesz zastosować podejście oparte na graficznym interfejsie użytkownika:
- Przejdź do „Użytkownicy i komputery usługi Active Directory”.
- Kliknij „Użytkownicy” lub folder zawierający konto użytkownika.
- Kliknij prawym przyciskiem myszy konto użytkownika i kliknij „Właściwości”.
- Kliknij kartę „Członek”.
Za pomocą wiersza poleceń
Nie jest to zbyt zabawne, prawda? Co powiesz na niektóre opcje wiersza poleceń?
- Otwórz wiersz polecenia (cmd.exe lub PowerShell)
- Uruchom:
gpresult /V
Otrzymasz dane wyjściowe, które wyglądają tak (skróciłem je, aby zawierały tylko informacje o grupie):
Możesz także uruchomić whoami /groups
, aby uzyskać podobne informacje. To polecenie wyświetli również listę grup dystrybucyjnych i zagnieżdżenia (tj. Jeśli jesteś w grupie A, która sama należy do grupy B, wyświetli się grupa B).
Jeszcze nie jesteś zadowolony? Wypróbuj net user domain
jako jeszcze jedną opcję.
Większe pytanie
Jak widać, istnieje wiele sposobów ustalenia grupy Active Directory członkostwo, ręcznie i programowo. Ale pytanie, na które prawie zawsze pozostaje bez odpowiedzi, brzmi: „Do czego dokładnie ta grupa daje dostęp?”
Jest to szczególnie trudne pytanie, gdy masz słabo nazwane grupy, ale nawet z nieskazitelnymi nazwami grup, popełniane są błędy i prawie zawsze okaże się, że grupy dają nieuzasadniony dostęp do danych.
Dalsze praktyczne kroki
Jak więc połączyć punkty między członkostwami w grupach Active Directory a plikami , foldery, witryny SharePoint i skrzynki pocztowe, z którymi są połączone? Korzystanie wyłącznie z natywnych narzędzi i opcji zarządzania systemem Windows jest niezwykle zniechęcającym i czasochłonnym zadaniem.
Uzyskaj demonstrację 1 na 1 Varonis DatAdvantage, aby zobaczyć zdrowszy, łatwiejszy i przede wszystkim bezpieczniejszy sposób zarządzania użytkownikami Active Directory.