Comment vérifier l'appartenance à un groupe AD avec la ligne de commande

Netwrix Auditor for Active Directory

Pour voir à quels groupes un utilisateur particulier appartient :

• Exécutez Netwrix Auditor → Allez dans "Rapports" → Cliquez sur “Prédéfini” → Développez la section "Active Directory" → Rendez-vous dans "Active Directory - État à un moment donné" → Sélectionnez "Comptes d'utilisateurs - Appartenance à des groupes"→ Cliquez sur “Afficher."
• Indiquez « Activé » dans le champ « Statut » et tapez « utilisateur » dans le champ « Type de membre » -> Cliquez sur « Voir le rapport ».

Pour vérifier les membres du groupe AD :

• Exécutez Netwrix Auditor → Allez dans « Rapports » → Cliquez sur « Prédéfini » → Développez la section « Active Directory » → Rendez-vous dans « Active Directory – État dans le temps » → Sélectionnez « Membres du groupe » → Cliquez sur « Afficher ».
• Configurez les filtres suivants :
  • Statut : Activé
  • Type de membre : Utilisateur
  • Chemin du groupe : Le chemin du groupe. Vous pouvez spécifier le chemin partiel vers un groupe particulier, en utilisant % comme caractère joker, ou laisser le joker pour voir un rapport pour tous les groupes.
• Cliquez sur « Afficher le rapport ».

Solution native

Pour voir l'appartenance d'un utilisateur aux groupes AD en utilisant la ligne de commande :

• Ouvrez l'invite de commande en vous rendant dans Démarrer → Exécuter (ou en appuyant sur Win + R) et en saisissant "cmd".
• Tapez la commande suivante dans la ligne de commande, en spécifiant le compte utilisateur pour lequel vous souhaitez trouver l'appartenance à un groupe :

      net user username
      

• À la fin du rapport résultant, vous trouverez une liste des groupes locaux et des groupes globaux auxquels l'utilisateur appartient :

Pour lister les membres d'un groupe AD en utilisant la ligne de commande :

• Ouvrez l'invite de commande en vous rendant dans Démarrer → Exécuter (ou en appuyant sur Win + R) et en saisissant "cmd".
• Entrez la commande suivante, en spécifiant le nom de groupe requis :

      net localgroup groupname
      

• À la fin du rapport résultant, vous trouverez une liste des membres du groupe :

Les commandes NET fonctionnent également si vous devez vérifier les utilisateurs locaux et l'appartenance à des groupes dans Windows 10.

Saisissez l'image complète au lieu de bidouiller la ligne de commande

Il est conseillé d'utiliser les groupes Active Directory pour accorder des privilèges d'accès aux utilisateurs — par exemple, l'accès à des ordinateurs, outils et serveurs spécifiques. Cependant, avec le temps, la configuration des groupes AD peut devenir très complexe, rendant difficile la compréhension de qui a accès à quoi et de s'assurer que chaque utilisateur dispose uniquement des permissions nécessaires. Les administrateurs IT doivent souvent vérifier les membres des groupes AD dans Windows 10 ou détailler tous les groupes auxquels un utilisateur particulier appartient, puis soit fournir ces informations aux responsables départementaux pour l'attestation des privilèges d'accès, soit les analyser eux-mêmes pour résoudre les problèmes d'héritage cassé et autres problèmes de sécurité.

Vous pouvez visualiser l'appartenance à un groupe AD avec le composant logiciel enfichable de la console Utilisateurs et ordinateurs Active Directory (ADUC) en recherchant l'utilisateur ou le groupe d'intérêt, en accédant aux propriétés de l'objet et en cliquant sur l'onglet « Membres » ou « Membre de ». Une autre option est d'obtenir l'appartenance à un groupe avec la ligne de commande — vous pouvez utiliser les outils dsget user et dsquery group du package Services de domaine Active Directory (AD DS), ou les commandes natives NET de la ligne de commande. Cependant, les résultats des commandes NET USER et NET LOCALGROUP sont difficiles à analyser. Alors que dsget et dsquery peuvent être utilisés pour interroger l'appartenance à un groupe ad et fournir une sortie plus structurée, ces commandes ne fonctionnent que sur les versions serveur de Windows et vous obligent à entrer le nom distinctif au format d'échange de données LDAP. La dernière option est d'utiliser l'applet de commande PowerShell Get-ADGroupMember, ce qui nécessite certaines compétences en script. En conséquence, l'examen de l'appartenance à un groupe Active Directory avec des outils natifs peut être difficile et prendre beaucoup de temps.

Netwrix Auditor for Active Directory peut vous faire économiser beaucoup de temps précieux. Au lieu de vérifier l'appartenance à des groupes AD avec une ligne de commande, les opérateurs système peuvent obtenir un résumé de l'appartenance à des groupes en quelques clics. De plus, Netwrix Auditor fournit également des rapports sur les modifications, l'activité de connexion et la configuration de Active Directory et de Group Policy, y compris les comptes d'utilisateurs et d'ordinateurs inactifs, les permissions des objets Active Directory, et plus encore. Il vous alertera sur d'éventuelles menaces et propose une recherche avancée pour accélérer les enquêtes. Vous pouvez utiliser divers rapports prédéfinis, tous avec des options de filtrage, d'exportation et d'abonnement, et créer facilement vos propres rapports personnalisés. Cette fonctionnalité complète rationalise de nombreuses tâches informatiques quotidiennes, du suivi des modifications et du contrôle d'accès à la révision des privilèges et à la détection de comportements anormaux.