So überprüfen Sie die AD-Gruppenmitgliedschaft mit der Kommandozeile

Netwrix Auditor for Active Directory

Um zu sehen, zu welchen Gruppen ein bestimmter Benutzer gehört:

• Netwrix Auditor starten → Navigieren Sie zu "Berichte" → Klicken Sie auf „Vordefiniert“ → Erweitern Sie den Abschnitt "Active Directory" → Gehen Sie zu "Active Directory - Zustand zu einem Zeitpunkt" → Wählen Sie "Benutzerkonten - Gruppenmitgliedschaft"→ Klicken Sie auf „Anzeigen."
• Geben Sie „Aktiviert“ im Feld „Status“ ein und tippen Sie „Benutzer“ im Feld „Mitgliedstyp“ -> Klicken Sie auf „Bericht anzeigen.“

Um AD-Gruppenmitglieder zu überprüfen:

• Starten Sie Netwrix Auditor → Navigieren Sie zu „Berichte“ → Klicken Sie auf „Vordefiniert“ → Erweitern Sie den Abschnitt „Active Directory“ → Gehen Sie zu „Active Directory – Zustand zu einem Zeitpunkt“ → Wählen Sie „Gruppenmitglieder“ → Klicken Sie auf „Anzeigen“.
• Richten Sie die folgenden Filter ein:
  • Status: Aktiviert
  • Mitgliedstyp: Benutzer
  • Gruppenpfad: Der Gruppenpfad. Sie können den Teilpfad zu einer bestimmten Gruppe angeben, indem Sie % als Platzhalterzeichen verwenden, oder den Platzhalter leer lassen, um einen Bericht für alle Gruppen zu sehen.
• Klicken Sie auf „Bericht anzeigen“.

Native Lösung

Um die AD-Gruppenmitgliedschaft eines Benutzers über die Kommandozeile zu sehen:

• Öffnen Sie die Eingabeaufforderung, indem Sie zu Start → Ausführen navigieren (oder Win + R drücken) und "cmd" eingeben.
• Geben Sie den folgenden Befehl in der Kommandozeile ein und geben Sie das Benutzerkonto an, für das Sie die Gruppenmitgliedschaft ermitteln möchten:

      net user username
      

• Am Ende des Berichts finden Sie eine Liste der lokalen Gruppen und globalen Gruppen, zu denen der Benutzer gehört:

Um Mitglieder einer AD-Gruppe über die Kommandozeile aufzulisten:

• Öffnen Sie die Eingabeaufforderung, indem Sie zu Start → Ausführen navigieren (oder Win + R drücken) und "cmd" eingeben.
• Geben Sie den folgenden Befehl ein und geben Sie den erforderlichen Gruppennamen an:

      net localgroup groupname
      

• Am Ende des Berichts finden Sie eine Liste der Mitglieder der Gruppe:

NET-Befehle funktionieren auch, wenn Sie lokale Benutzer und Gruppenmitgliedschaften in Windows 10 überprüfen müssen.

Erfassen Sie das Gesamtbild, anstatt mit der Befehlszeile zu hantieren

Es wird empfohlen, Active Directory-Gruppen zu verwenden, um Benutzern Zugriffsrechte zu gewähren – zum Beispiel Zugang zu bestimmten Computern, Werkzeugen und Servern. Allerdings kann die Konfiguration von AD-Gruppen mit der Zeit sehr komplex werden, was es schwierig macht zu verstehen, wer Zugang zu was hat und sicherzustellen, dass jeder Benutzer nur die Berechtigungen hat, die er benötigt. IT-Administratoren müssen oft die Mitglieder von AD-Gruppen in Windows 10 überprüfen oder alle Gruppen auflisten, zu denen ein bestimmter Benutzer gehört, und dann entweder diese Informationen den Abteilungsleitern für die Bestätigung von Zugriffsrechten zur Verfügung stellen oder sie selbst analysieren, um vererbte Berechtigungen und andere Sicherheitsprobleme zu beheben.

Sie können die Mitgliedschaft in AD-Gruppen mit dem Snap-In der Konsole 'Active Directory-Benutzer und -Computer (ADUC)' einsehen, indem Sie den Benutzer oder die Gruppe finden, die Eigenschaften des Objekts aufrufen und auf den Tab 'Mitglieder' oder 'Mitglied von' klicken. Eine andere Möglichkeit besteht darin, die Gruppenmitgliedschaft über die Befehlszeile zu ermitteln – Sie können die Tools dsget user und dsquery group aus dem Paket der Active Directory-Domänendienste (AD DS) verwenden oder native NET-Befehle von der Befehlszeile ausführen. Allerdings sind die Ergebnisse der Befehle NET USER und NET LOCALGROUP schwer zu analysieren. Während dsget und dsquery verwendet werden können, um die Mitgliedschaft in AD-Gruppen abzufragen und strukturiertere Ausgaben zu liefern, funktionieren diese Befehle nur auf Serverversionen von Windows und erfordern, dass Sie den Distinguished Name im LDAP Data Interchange Format eingeben. Die letzte Option besteht darin, das PowerShell-Cmdlet Get-ADGroupMember zu verwenden, was einige Skriptfähigkeiten erfordert. Daher kann die Überprüfung der Mitgliedschaft in Active Directory-Gruppen mit nativen Tools schwierig und zeitaufwändig sein.

Netwrix Auditor for Active Directory kann eine Menge wertvoller Zeit sparen. Anstatt die Mitgliedschaft in AD-Gruppen über die Kommandozeile zu überprüfen, können Systembetreiber eine Zusammenfassung der Gruppenmitgliedschaft mit nur wenigen Klicks erhalten. Darüber hinaus berichtet Netwrix Auditor auch über Änderungen, Anmeldeaktivitäten und die Konfiguration von Active Directory und Gruppenrichtlinien, einschließlich inaktiver Benutzer- und Computerkonten, Berechtigungen von Active Directory-Objekten und mehr. Es wird Sie über mögliche Bedrohungen alarmieren und bietet eine erweiterte Suche, um Untersuchungen zu beschleunigen. Sie können verschiedene vordefinierte Berichte nutzen, alle mit Filter-, Export- und Abonnementoptionen, und einfach Ihre eigenen Berichte erstellen. Diese umfassende Funktionalität vereinfacht viele alltägliche IT-Aufgaben, von der Überwachung von Änderungen und Zugriffskontrolle bis hin zur Überprüfung von Privilegien und der Erkennung von anomalem Verhalten.