So erhalten Sie die AD-Benutzergruppenmitgliedschaft mit oder ohne PowerShell

Netwrix Auditor für Active Directory

1. Starten Sie Netwrix Auditor → Navigieren Sie zu "Berichte" → Erweitern Sie den Abschnitt "Active Directory" → Gehen Sie zu "Active Directory - Zustand zu einem bestimmten Zeitpunkt" → Wählen Sie "Benutzerkonten - Gruppenmitgliedschaft"→ Klicken Sie auf 'Anzeigen'. Sie können auch nach der Gruppenmitgliedschaft für einen bestimmten Benutzer suchen.
2. Um den Bericht zu speichern, klicken Sie auf die Schaltfläche „Exportieren“ → Wählen Sie ein Format aus dem Dropdown-Menü → Klicken Sie auf „Speichern“.

---

Native Lösung

1. Öffnen Sie die PowerShell ISE.
   Wenn Sie das Active Directory-Modul nicht auf Ihrem Windows-Rechner installiert haben, müssen Sie das entsprechende Remote Server Administration Tools (RSAT) Paket für Ihr Betriebssystem herunterladen.
   Um das Modul zu aktivieren, verwenden Sie den Befehl import-module ActiveDirectory in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten.
2. Führen Sie eines der folgenden PowerShell-Skripte aus, indem Sie den Namen des AD-Benutzerkontos (samaccountname), für das Sie sich interessieren, und den Pfad für den Export angeben.

Import-Module ActiveDirectory

$UserName = „Administrator“

$ReportPath = “C:\data\ADUserGroups.csv“

Get-ADPrincipalGroupMembershipwindows $Username | select name, groupcategory, groupscope | export-CSV C:\data\ADUserGroups.csv

• Das Cmdlet Get-ADPrincipalGroupMembership ruft die Active-Directory-Gruppenmitgliedschaften für den angegebenen Benutzer ab. Es zeigt Informationen über jede Gruppe an, einschließlich Name, Kategorie (Sicherheits- oder Verteilergruppe) und Geltungsbereich (Global, Universell oder Domänenlokal). Dieses Cmdlet greift direkt auf die memberOf-Eigenschaft der Gruppe zu.
  Das oben genannte Skript erzeugt eine Ausgabe als CSV-Datei, indem es das Cmdlet Export-CSV mit dem Pipeline-Symbol verwendet und die Datei anschließend in MS Excel öffnet.

• Das Cmdlet Get-ADUser in Windows PowerShell kann Informationen über Active Directory-Benutzer abrufen. Es ermöglicht Ihnen, viele Attribute von Benutzerobjekten, die in Active Directory gespeichert sind, abzufragen. Dieses Cmdlet funktioniert auch für jede AD-Partition oder eine AD LDS (Lightweight Directory Services)-Instanz. Das untenstehende Skript verwendet den Parameter -Properties und MemberOf als Werte, um eine Gruppenliste im LDIF-Format zu erhalten, die die eindeutigen Namen der Gruppen enthält. Diese Methode ist nicht für Berichte geeignet, da sie standardmäßig die Ausgabe im Format eines eindeutigen Namens liefert:

Import-Module ActiveDirectory

$UserName = „Administrator“

$ReportPath = “C:\data\ADUserGroups.txt“

#-Der Identity-Parameter kann verwendet werden, oder nur der Wert kann als $UserName bereitgestellt werden

(Get-ADUser $UserName –Properties MemberOf | Select MemberOf).MemberOf |Out-File -FilePath $reportpath

Wenn der angemeldete Windows-Benutzer nicht über die Berechtigungen verfügt, um das Skript auszuführen, müssen Sie alternative Anmeldeinformationen angeben, um das Skript über den -Credential Parameter auszuführen, der die Authentifizierung für PowerShell bereitstellt.

Erfahren Sie mehr über Netwrix Auditor for Active Directory

Erhalten Sie den AD User Group Membership Report ohne mühsames PowerShell-Basteln

Das Prinzip der geringsten Berechtigungen erfordert, dass Sie den Zugriff der Benutzer auf die spezifischen Ressourcen beschränken, die sie für ihre tägliche Arbeit benötigen. Indem Sie unnötige Berechtigungen entfernen, verstärken Sie die Sicherheit und reduzieren Ihre Angriffsfläche, indem Sie den Schaden begrenzen, der entstehen kann, wenn ein Benutzer beschließt, seine Zugriffsrechte zu missbrauchen oder das Konto durch Angreifer oder Malware kompromittiert wird.

Um diese Best Practice mit nativen Tools durchzusetzen, können Sie entweder manuell Benutzerobjekteigenschaften in ADUC überprüfen oder Daten zur AD-Gruppenmitgliedschaft erhalten, indem Sie PowerShell-Skripte verwenden, um Berichte zu erstellen, die spezifische Namen lokaler Domänengruppen (wie EnterpriseAdmins und Domain Administrators) detailliert auflisten und manuell überprüfen, zu welchen Gruppen ein bestimmtes Benutzerkonto gehört. Beide Optionen verbrauchen jedoch Ihre wertvolle Zeit. Darüber hinaus kann die Überprüfung von Active Directory-Gruppenmitgliedschaftslisten, besonders in komplexen Umgebungen aufgrund einer hohen Anzahl von Sicherheitsgruppen und verschachtelten Gruppen, mühsam sein. Zusätzlich dazu, wenn Sie Ihren Bericht filtern oder mehr Details hinzufügen möchten, benötigen Sie mehr Expertise in PowerShell-Scripting und Cmdlet-Parametern.

Mit Netwrix Auditor für Active Directory benötigen Sie nur wenige Klicks, um einen verständlichen Bericht zu erhalten, der mit allen Details angereichert ist, die Sie benötigen, um zu überprüfen, welchen Gruppen ein bestimmter Benutzer angehört. Sie können die Ergebnisse problemlos in CSV- oder PDF-Format exportieren und an Abteilungsleiter zur Überprüfung senden. Sie können sogar Abonnements für sich selbst und andere Mitarbeiter einrichten, die an regelmäßigen Berechtigungsprüfungen teilnehmen müssen; diese Personen erhalten es automatisch nach dem von Ihnen festgelegten Zeitplan, ohne zusätzlichen Aufwand.