Förmågan att administrera och underhålla uppdaterade användarlistor och grupper är avgörande för en organisations säkerhet.
Använda GUI
Det finns ett antal olika sätt att avgöra vilka grupper en användare tillhör. Först kan du följa GUI-metoden:
- Gå till ”Active Directory-användare och datorer”.
- Klicka på ”Användare” eller mappen som innehåller användarkontot.
- Högerklicka på användarkontot och klicka på ”Egenskaper”.
- Klicka på fliken ”Medlem av”.
Använd kommandoraden
Inte så kul att klicka runt, eller hur? Hur är det med vissa kommandoradsalternativ?
- Öppna ett kommandopromt (cmd.exe eller PowerShell)
- Kör:
gpresult /V
Du får utdata som ser ut så här (jag har avkortat den för att bara inkludera gruppinfo):
Du kan också köra whoami /groups för att få liknande information. Det här kommandot listar också distributionsgrupper och kapsling (dvs. om du är i grupp A som själv är medlem i grupp B kommer den att visa grupp B).
Inte nöjd ännu? Försök med net user domain som ännu ett alternativ.
Den större frågan
Som du kan se finns det många sätt att fastställa Active Directory-gruppen medlemskap, manuellt och programmatiskt. Men frågan som nästan alltid blir obesvarad är: ”Vad ger den här gruppen exakt tillgång till?”
Detta är en särskilt knepig fråga att svara på när du har dåligt namngivna grupper, men även med orörda gruppnamn, misstag görs och du kommer nästan alltid att upptäcka att grupper ger obehörig åtkomst till data.
Praktiska nästa steg
Så hur kopplar du prickarna mellan Active Directory-gruppmedlemskap och filerna , mappar, SharePoint-webbplatser och postlådor de är anslutna till? Med bara de inbyggda verktygen och Windows-hanteringsalternativ är det en enorm skrämmande och tidskrävande uppgift.
Få en 1-mot-1-demo Varonis DatAdvantage för att se ett bättre, enklare och framför allt säkrare sätt att hantera dina Active Directory-användare.