Come verificare l'appartenenza a un gruppo AD tramite la riga di comando

Netwrix Auditor for Active Directory

Per vedere a quali gruppi appartiene un determinato utente:

• Esegui Netwrix Auditor → Vai alla sezione "Reports" → Clicca su “Predefined” → Espandi la sezione "Active Directory" → Vai a "Active Directory - State-in-Time" → Seleziona "User Accounts - Group Membership"→ Clicca su “View."
• Impostare "Enabled" nel campo "Status" e digitare "user" nel campo "Member Type" -> Fare clic su "View Report".

Per controllare i membri del gruppo AD:

• Esegui Netwrix Auditor → Vai alla sezione “Reports” → Clicca su “Predefined” → Espandi la sezione “Active Directory” → Vai a “Active Directory – State-in-Time” → Seleziona “Group Members” → Clicca su “View”.
• Imposta i seguenti filtri:
  • Stato: Attivato
  • Tipo di membro: Utente
  • Percorso del gruppo: Il percorso del gruppo. Puoi specificare il percorso parziale per un determinato gruppo, utilizzando % come carattere jolly, oppure lasciare il carattere jolly per visualizzare un rapporto per tutti i gruppi.
• Clicca su “View Report”.

Soluzione nativa

Per visualizzare l'appartenenza ai gruppi AD dell'utente tramite la riga di comando:

• Apri il prompt dei comandi navigando in Start → Esegui (o premendo Win + R) e inserendo "cmd".
• Digitare il seguente comando nella riga di comando, specificando l'account utente per cui si desidera trovare l'appartenenza al gruppo:

      net user username
      

• Alla fine del rapporto risultante, troverai un elenco dei gruppi locali e dei gruppi globali di cui l'utente fa parte:

Per elencare i membri di un gruppo AD utilizzando la riga di comando:

• Apri il prompt dei comandi navigando in Start → Esegui (o premendo Win + R) e inserendo "cmd".
• Inserisci il seguente comando, specificando il nome del gruppo richiesto:

      net localgroup groupname
      

• Alla fine del rapporto risultante, troverai un elenco dei membri del gruppo:

I comandi NET funzionano anche se devi verificare gli utenti locali e l'appartenenza a gruppi in Windows 10.

Afferra l'immagine completa invece di giocherellare con la riga di comando

Le migliori pratiche consigliano l'utilizzo di gruppi di Active Directory per concedere privilegi di accesso agli utenti — ad esempio, l'accesso a computer specifici, strumenti e server. Tuttavia, col tempo, la configurazione dei gruppi AD può diventare molto complicata, rendendo difficile capire chi ha accesso a cosa e assicurare che ogni utente abbia solo i permessi di cui ha bisogno. Gli amministratori IT spesso devono controllare i membri dei gruppi AD in Windows 10 o dettagliare tutti i gruppi di cui un determinato utente fa parte e poi fornire queste informazioni ai leader dei dipartimenti per l'attestazione dei privilegi di accesso o analizzarle loro stessi per risolvere problemi di ereditarietà interrotta e altre questioni di sicurezza.

È possibile visualizzare l'appartenenza ai gruppi AD utilizzando lo snap-in della console Utenti e computer di Active Directory (ADUC) cercando l'utente o il gruppo di interesse, accedendo alle proprietà dell'oggetto e cliccando sulla scheda “Membri” o “Membro di”. Un'altra opzione è ottenere l'appartenenza al gruppo tramite la riga di comando — è possibile utilizzare gli strumenti dsget user e dsquery group del pacchetto Servizi di dominio Active Directory (AD DS), o i comandi nativi NET dalla riga di comando. Tuttavia, i risultati dei comandi NET USER e NET LOCALGROUP sono difficili da analizzare. Mentre dsget e dsquery possono essere utilizzati per interrogare l'appartenenza ai gruppi ad e fornire un output più strutturato, questi comandi funzionano solo sulle versioni server di Windows e richiedono di inserire il nome distinto nel formato di interscambio dati LDAP. L'ultima opzione è utilizzare il cmdlet PowerShell Get-ADGroupMember, che richiede alcune competenze di scripting. Di conseguenza, esaminare l'appartenenza ai gruppi di Active Directory con gli strumenti nativi può essere difficile e richiedere molto tempo.

Netwrix Auditor for Active Directory può risparmiare molto tempo prezioso. Invece di controllare l'appartenenza ai gruppi di AD tramite la riga di comando, gli operatori di sistema possono ottenere un riepilogo dell'appartenenza ai gruppi in pochi clic. Inoltre, Netwrix Auditor fornisce anche rapporti sulle modifiche, l'attività di accesso e la configurazione di Active Directory e Group Policy, inclusi account utente e computer inattivi, permessi degli oggetti di Active Directory e altro ancora. Vi allerta su possibili minacce e offre una ricerca avanzata per accelerare le indagini. Potete utilizzare vari rapporti predefiniti, tutti con opzioni di filtro, esportazione e sottoscrizione, e creare facilmente i vostri rapporti personalizzati. Questa funzionalità completa semplifica molte attività IT quotidiane, dal monitoraggio dei cambiamenti e controllo degli accessi alla revisione dei privilegi e rilevamento di comportamenti anomali.