Comment obtenir les groupes AD pour les utilisateurs

Netwrix Auditor for Active Directory

• Exécutez Netwrix Auditor. Naviguez vers « Rapports » -> Cliquez sur « Prédéfini » -> Développez la section « Active Directory » -> Allez à « Active Directory – État dans le temps » -> Sélectionnez « Membres du groupe » -> Cliquez sur « Afficher ».
• Indiquez « Activé » dans le champ « Statut » et tapez « utilisateur » dans le champ « Type de membre » -> Cliquez sur « Voir le rapport ».
• Examinez votre rapport :

• Pour exporter le rapport dans un fichier, cliquez sur le bouton "Floppy" et choisissez le format souhaité.

En savoir plus sur Netwrix Auditor for Active Directory

Solution native

• Ouvrez l'ISE PowerShell sur votre contrôleur de domaine et exécutez le script PowerShell suivant :

      import-module activedirectory 
$Path = "C:\Temp\UserGroups.csv" 
$username = "*" 
$ADuser = Get-ADUser -filter {(Name -like $username -or SamAccountName -like $username) -and (Enabled -eq $true)}  

$out = foreach($user in $ADuser)    { 
   $groups = Get-ADPrincipalGroupMembership $user 
   foreach ($group in $groups){ 
   $rec = New-Object PSObject 
       foreach($GP in $group.psobject.Properties) { 
               foreach($UP in $user.psobject.Properties) { 
               $rec | Add-Member -Type NoteProperty -Name ("U_" + $UP.Name) -Value $UP.value -Force 
               $rec | Add-Member -Type NoteProperty -Name ("G_" + $GP.Name) -Value $GP.value -Force 
               } 
       } 
       $rec|select U_Name, U_DistinguishedName,G_name,G_GroupCategory, G_GroupScope, G_distinguishedName 
   } 
} 
$out |Export-Csv $Path -NoTypeInformation
      

Pour lister les noms de groupe pour une seule identité d'utilisateur, remplacez "*" par le nom du compte utilisateur.

Pour un rapport sommaire avec moins d'informations, vous pouvez omettre des champs de l'instruction $rec|select.

Vous pouvez ne laisser que U_Name (ou U_SamAccountName) et G_name (ou G_SamAccountName) pour obtenir uniquement un résumé du Nom d'utilisateur + Nom du groupe.

• Examinez le rapport .csv :

Obtenez des rapports sur l'appartenance aux groupes AD

Les meilleures pratiques recommandent d'utiliser des groupes AD pour attribuer des droits d'accès aux utilisateurs. Cependant, avec le temps, la structure de vos groupes AD peut devenir assez complexe, ce qui rend difficile de savoir qui a accès à quoi. Pour examiner les droits d'accès ou résoudre manuellement les problèmes de permissions, les administrateurs de domaine doivent vérifier à quels groupes les utilisateurs appartiennent, puis examiner les permissions accordées aux groupes listés.

Une manière plus simple d'obtenir des informations sur l'appartenance aux groupes d'utilisateurs consiste à utiliser PowerShell. Si la structure de votre AD est claire, vous pouvez obtenir les chemins des groupes et des utilisateurs en utilisant la cmdlet Get-ADPrincipalGroupMembership du module PowerShell Active Directory. (Pour lister l'appartenance des ordinateurs, vous devez utiliser des commandes différentes.) Cependant, si votre organisation possède une liste étendue de noms de groupes, utiliser PowerShell n'est pas une option viable pour plus qu'une analyse ad hoc occasionnelle.

Netwrix Auditor simplifie considérablement l'examen et le dépannage de l'appartenance aux groupes. Vous pouvez obtenir les groupes AD pour les utilisateurs simplement en exécutant un rapport prédéfini. Il n'est pas nécessaire d'utiliser PowerShell, vous n'avez donc pas à passer du temps à écrire et à maintenir des scripts. Les administrateurs d'entreprise peuvent trouver les informations requises rapidement et les exporter facilement en CSV, XLSX ou même en PDF, facilitant l'examen régulier et accélérant la résolution des problèmes.