So erhalten Sie AD-Gruppen für Benutzer

Netwrix Auditor for Active Directory

• Starten Sie Netwrix Auditor. Navigieren Sie zu „Berichte“ -> Klicken Sie auf „Vordefiniert“ -> Erweitern Sie den Abschnitt „Active Directory“ -> Gehen Sie zu „Active Directory – Zustand zu einem Zeitpunkt“ -> Wählen Sie „Gruppenmitglieder“ -> Klicken Sie auf „Anzeigen“.
• Geben Sie „Aktiviert“ im Feld „Status“ ein und tippen Sie „Benutzer“ im Feld „Mitgliedstyp“ -> Klicken Sie auf „Bericht anzeigen“.
• Überprüfen Sie Ihren Bericht:

• Um den Bericht in eine Datei zu exportieren, klicken Sie auf die Schaltfläche „Floppy“ und wählen Sie das gewünschte Format aus.

Erfahren Sie mehr über Netwrix Auditor for Active Directory

Native Lösung

• Öffnen Sie die PowerShell ISE auf Ihrem Domänencontroller und führen Sie das folgende PowerShell-Skript aus:

      import-module activedirectory 
$Path = "C:\Temp\UserGroups.csv" 
$username = "*" 
$ADuser = Get-ADUser -filter {(Name -like $username -or SamAccountName -like $username) -and (Enabled -eq $true)}  

$out = foreach($user in $ADuser)    { 
   $groups = Get-ADPrincipalGroupMembership $user 
   foreach ($group in $groups){ 
   $rec = New-Object PSObject 
       foreach($GP in $group.psobject.Properties) { 
               foreach($UP in $user.psobject.Properties) { 
               $rec | Add-Member -Type NoteProperty -Name ("U_" + $UP.Name) -Value $UP.value -Force 
               $rec | Add-Member -Type NoteProperty -Name ("G_" + $GP.Name) -Value $GP.value -Force 
               } 
       } 
       $rec|select U_Name, U_DistinguishedName,G_name,G_GroupCategory, G_GroupScope, G_distinguishedName 
   } 
} 
$out |Export-Csv $Path -NoTypeInformation
      

Um Gruppennamen nur für eine einzelne Benutzeridentität aufzulisten, ersetzen Sie "*" durch den Benutzernamen.

Für einen zusammenfassenden Bericht mit weniger Informationen können Sie Felder aus der $rec|select-Anweisung weglassen.

Sie können nur U_Name (oder U_SamAccountName) und G_name (oder G_SamAccountName) angeben, um eine Zusammenfassung von Benutzername + Gruppenname zu erhalten.

• Überprüfen Sie den .csv-Bericht:

Berichte über AD-Gruppenmitgliedschaften erhalten

Best Practices empfehlen die Verwendung von AD-Gruppen, um Benutzern Zugriffsrechte zuzuweisen. Allerdings kann die Struktur Ihrer AD-Gruppen mit der Zeit recht komplex werden, was es schwieriger macht zu verstehen, wer Zugang zu was hat. Um Zugriffsrechte zu überprüfen oder Berechtigungsprobleme manuell zu beheben, müssen Domänenadministratoren sehen, welchen Gruppen die Benutzer angehören und dann die den Gruppen erteilten Berechtigungen überprüfen.

Eine einfachere Methode, um Informationen über die Gruppenmitgliedschaft von Benutzern zu erhalten, ist die Verwendung von PowerShell. Vorausgesetzt, die Struktur Ihres AD ist unkompliziert, können Sie Gruppen- und Benutzerpfade mit dem Get-ADPrincipalGroupMembershipcmdlet aus dem Active Directory PowerShell-Modul abrufen. (Um die Mitgliedschaft von Computern aufzulisten, müssen Sie andere Befehle verwenden.) Wenn Ihre Organisation jedoch eine umfangreiche Liste von Gruppennamen hat, ist die Verwendung von PowerShell keine praktikable Option für mehr als gelegentliche Ad-hoc-Analysen.

Netwrix Auditor vereinfacht die Überprüfung und Fehlerbehebung von Gruppenmitgliedschaften erheblich. Sie können AD-Gruppen für Benutzer einfach durch Ausführen eines vordefinierten Berichts erhalten. Es ist nicht notwendig, PowerShell zu verwenden, sodass Sie keine Zeit mit dem Schreiben und Warten von Skripten verbringen müssen. Unternehmensadministratoren können die benötigten Informationen schnell finden und einfach in CSV, XLSX oder sogar PDF exportieren, was die regelmäßige Überprüfung erleichtert und die Lösung von Problemen beschleunigt.