Cómo verificar la membresía de un grupo de AD con la línea de comandos

Netwrix Auditor for Active Directory

Para ver a qué grupos pertenece un usuario en particular:

• Ejecute Netwrix Auditor → Vaya a "Informes" → Haga clic en “Predefinido” → Despliegue la sección "Active Directory" → Acceda a "Active Directory - Estado en el Tiempo" → Seleccione "Cuentas de Usuario - Membresía de Grupo"→ Haga clic en “Ver."
• Especifique “Habilitado” en el campo “Estado” y escriba “usuario” en el campo “Tipo de miembro” -> Haga clic en “Ver informe”.

Para verificar los miembros del grupo AD:

• Ejecute Netwrix Auditor → Vaya a “Informes” → Haga clic en “Predefinido” → Despliegue la sección “Active Directory” → Acceda a “Active Directory – Estado en el Tiempo” → Seleccione “Miembros del Grupo” → Haga clic en “Ver”.
• Configure los siguientes filtros:
  • Estado: Habilitado
  • Tipo de miembro: Usuario
  • Ruta del grupo: La ruta del grupo. Puede especificar la ruta parcial a un grupo en particular, utilizando % como el carácter comodín, o dejar el comodín para ver un informe de todos los grupos.
• Haga clic en “Ver Informe”.

Solución nativa

Para ver la membresía de grupo de AD del usuario utilizando la línea de comandos:

• Abra el símbolo del sistema navegando a Inicio → Ejecutar (o presionando Win + R) e ingresando "cmd".
• Escriba el siguiente comando en la línea de comandos, especificando la cuenta de usuario para la que desea encontrar la membresía de grupo:

      net user username
      

• Al final del informe resultante, encontrará una lista de los grupos locales y grupos globales a los que pertenece el usuario:

Para listar los miembros de un grupo de AD usando la línea de comandos:

• Abra el símbolo del sistema navegando a Inicio → Ejecutar (o presionando Win + R) e ingresando "cmd".
• Introduzca el siguiente comando, especificando el nombre del grupo requerido:

      net localgroup groupname
      

• Al final del informe resultante, encontrará una lista de los miembros del grupo:

Los comandos NET también funcionan si necesitas verificar usuarios locales y membresía de grupos en Windows 10.

Comprenda el panorama completo en lugar de jugar con la línea de comandos

Las mejores prácticas aconsejan utilizar grupos de Active Directory para otorgar privilegios de acceso a los usuarios — por ejemplo, acceso a computadoras específicas, herramientas y servidores. Sin embargo, con el tiempo, la configuración de grupos de AD puede volverse muy complicada, lo que dificulta entender quién tiene acceso a qué y asegurar que cada usuario solo tenga los permisos que necesita. Los administradores de TI a menudo necesitan verificar los miembros de grupos de AD en Windows 10 o detallar todos los grupos a los que pertenece un usuario en particular y luego proporcionar esa información a los líderes departamentales para la atestación de privilegios de acceso o analizarla ellos mismos para solucionar problemas de herencia rota y otros problemas de seguridad.

Puede ver la membresía de grupos de AD con el complemento de consola Usuarios y Computadoras de Active Directory (ADUC) buscando el usuario o grupo de interés, accediendo a las propiedades del objeto y haciendo clic en la pestaña “Miembros” o “Miembro de”. Otra opción es obtener la membresía de grupo con la línea de comandos: puede usar las herramientas dsget user y dsquery group del paquete de Servicios de Dominio de Active Directory (AD DS), o comandos nativos NET de la línea de comandos. Sin embargo, los resultados de los comandos NET USER y NET LOCALGROUP son difíciles de analizar. Aunque dsget y dsquery se pueden utilizar para consultar la membresía de grupos de ad y proporcionar una salida más estructurada, esos comandos solo funcionan en versiones de servidor de Windows y requieren que ingrese el nombre distinguido en el Formato de Intercambio de Datos LDAP. La última opción es usar el cmdlet de PowerShell Get-ADGroupMember, que requiere algunas habilidades de scripting. Como resultado, revisar la membresía de grupos de Active Directory con herramientas nativas puede ser difícil y llevar mucho tiempo.

Netwrix Auditor for Active Directory puede ahorrar una gran cantidad de tiempo valioso. En lugar de verificar la membresía de grupos de AD con una línea de comandos, los operadores de sistemas pueden obtener un resumen de la membresía de grupos en unos pocos clics. Además, Netwrix Auditor también informa sobre modificaciones, actividad de inicio de sesión y la configuración de Active Directory y Group Policy, incluyendo cuentas de usuario y computadora inactivas, permisos de objetos de Active Directory y más. Te alertará sobre posibles amenazas y ofrece una búsqueda avanzada para acelerar las investigaciones. Puedes utilizar varios informes predefinidos, todos con opciones de filtrado, exportación y suscripción, y crear fácilmente tus informes personalizados. Esta funcionalidad integral simplifica muchas tareas informáticas cotidianas, desde el monitoreo de cambios y control de acceso hasta la revisión de privilegios y detección de comportamientos anómalos.