Cómo obtener AD Groups para usuarios

Netwrix Auditor for Active Directory

• Ejecute Netwrix Auditor. Navegue a “Informes” -> Haga clic en “Predefinido” -> Despliegue la sección “Active Directory” -> Vaya a “Active Directory – Estado en el Tiempo” -> Seleccione “Miembros del Grupo” -> Haga clic en “Ver”.
• Especifique “Habilitado” en el campo “Estado” y escriba “usuario” en el campo “Tipo de Miembro” -> Haga clic en “Ver Informe”.
• Revise su informe:

• Para exportar el informe a un archivo, haga clic en el botón "Floppy" y elija el formato deseado.

Aprende más sobre Netwrix Auditor for Active Directory

Solución nativa

• Abra el ISE de PowerShell en su controlador de dominio y ejecute el siguiente script de PowerShell:

      import-module activedirectory 
$Path = "C:\Temp\UserGroups.csv" 
$username = "*" 
$ADuser = Get-ADUser -filter {(Name -like $username -or SamAccountName -like $username) -and (Enabled -eq $true)}  

$out = foreach($user in $ADuser)    { 
   $groups = Get-ADPrincipalGroupMembership $user 
   foreach ($group in $groups){ 
   $rec = New-Object PSObject 
       foreach($GP in $group.psobject.Properties) { 
               foreach($UP in $user.psobject.Properties) { 
               $rec | Add-Member -Type NoteProperty -Name ("U_" + $UP.Name) -Value $UP.value -Force 
               $rec | Add-Member -Type NoteProperty -Name ("G_" + $GP.Name) -Value $GP.value -Force 
               } 
       } 
       $rec|select U_Name, U_DistinguishedName,G_name,G_GroupCategory, G_GroupScope, G_distinguishedName 
   } 
} 
$out |Export-Csv $Path -NoTypeInformation
      

Para listar los nombres de grupo para una única identidad de usuario, reemplace "*" con el nombre de la cuenta de usuario.

Para obtener un informe resumido con menos información, puede omitir campos del $rec|select enunciado.

Puede dejar solo U_Name (o U_SamAccountName) y G_name (o G_SamAccountName) para obtener solo el resumen de Nombre de Usuario + Nombre de Grupo.

• Revise el informe .csv:

Obtenga informes sobre la membresía de grupos de AD

Las mejores prácticas recomiendan usar grupos de AD para asignar derechos de acceso a los usuarios. Sin embargo, con el tiempo, la estructura de grupos de AD puede volverse bastante compleja, lo que dificulta saber quién tiene acceso a qué. Para revisar los derechos de acceso o solucionar problemas de permisos manualmente, los administradores de dominio tienen que ver a qué grupos pertenecen los usuarios y luego revisar los permisos otorgados a los grupos listados.

Una manera más sencilla de obtener información sobre la membresía de grupos de usuarios es utilizar PowerShell. Siempre que la estructura de su AD sea sencilla, puede obtener las rutas de grupos y usuarios utilizando el cmdlet Get-ADPrincipalGroupMembership del módulo de PowerShell de Active Directory. (Para listar la membresía de computadoras, tiene que usar comandos diferentes.) Sin embargo, si su organización cuenta con una extensa lista de nombres de grupos, usar PowerShell no es una opción viable para más que análisis ad-hoc ocasionales.

Netwrix Auditor simplifica drásticamente la revisión y solución de problemas de membresía de grupos. Puede obtener grupos de AD para usuarios simplemente ejecutando un informe predefinido. No hay necesidad de usar PowerShell, por lo que no tiene que invertir tiempo escribiendo y manteniendo scripts. Los administradores de empresas pueden encontrar la información requerida de manera rápida y fácilmente exportarla a CSV, XLSX o incluso PDF, facilitando la revisión regular y acelerando la resolución de problemas.