Come ottenere i gruppi AD per gli utenti

Netwrix Auditor for Active Directory

• Esegui Netwrix Auditor. Naviga in “Reports” -> Clicca su “Predefined” -> Espandi la sezione “Active Directory” -> Vai a “Active Directory – State-in-Time” -> Seleziona “Group Members” -> Clicca su “View”.
• Impostare “Enabled” nel campo “Status” e digitare “user” nel campo “Member Type” -> Cliccare su “View Report”.
• Rivedi il tuo rapporto:

• Per esportare il rapporto in un file, clicca sul pulsante "Floppy" e scegli il formato desiderato.

Scopri di più su Netwrix Auditor for Active Directory

Soluzione nativa

• Apri l'ISE di PowerShell sul tuo controller di dominio ed esegui il seguente script PowerShell:

      import-module activedirectory 
$Path = "C:\Temp\UserGroups.csv" 
$username = "*" 
$ADuser = Get-ADUser -filter {(Name -like $username -or SamAccountName -like $username) -and (Enabled -eq $true)}  

$out = foreach($user in $ADuser)    { 
   $groups = Get-ADPrincipalGroupMembership $user 
   foreach ($group in $groups){ 
   $rec = New-Object PSObject 
       foreach($GP in $group.psobject.Properties) { 
               foreach($UP in $user.psobject.Properties) { 
               $rec | Add-Member -Type NoteProperty -Name ("U_" + $UP.Name) -Value $UP.value -Force 
               $rec | Add-Member -Type NoteProperty -Name ("G_" + $GP.Name) -Value $GP.value -Force 
               } 
       } 
       $rec|select U_Name, U_DistinguishedName,G_name,G_GroupCategory, G_GroupScope, G_distinguishedName 
   } 
} 
$out |Export-Csv $Path -NoTypeInformation
      

Per elencare i nomi dei gruppi per una singola identità utente, sostituire "*" con il nome dell'account utente.

Per un rapporto riassuntivo con meno informazioni, puoi omettere i campi dalla dichiarazione $rec|select.

Puoi lasciare solo U_Name (o U_SamAccountName) e G_name (o G_SamAccountName) per ottenere solo un riepilogo di Nome Utente + Nome Gruppo.

• Esamina il report in formato .csv:

Ottenere report sulla membership di gruppi AD

Le migliori pratiche consigliano di utilizzare i gruppi AD per assegnare diritti di accesso agli utenti. Tuttavia, col passare del tempo, la struttura dei gruppi AD può diventare piuttosto complessa, il che rende più difficile sapere chi ha accesso a cosa. Per rivedere i diritti di accesso o risolvere manualmente i problemi di permessi, gli amministratori di dominio devono verificare a quali gruppi gli utenti appartengono e poi esaminare i permessi concessi ai gruppi elencati.

Un modo più semplice per ottenere informazioni sull'appartenenza ai gruppi degli utenti è utilizzare PowerShell. Se la struttura del vostro AD è semplice, potete ottenere i percorsi di gruppi e utenti utilizzando il cmdlet Get-ADPrincipalGroupMembership dal modulo PowerShell di Active Directory. (Per elencare l'appartenenza dei computer, è necessario utilizzare comandi diversi.) Tuttavia, se la vostra organizzazione ha un elenco esteso di nomi di gruppi, l'uso di PowerShell non è un'opzione praticabile per analisi ad-hoc più di tanto occasionali.

Netwrix Auditor semplifica notevolmente la revisione e la risoluzione dei problemi relativi all'appartenenza ai gruppi. È possibile ottenere i gruppi AD per gli utenti semplicemente eseguendo un report predefinito. Non c'è bisogno di utilizzare PowerShell, quindi non dovete perdere tempo a scrivere e mantenere script. Gli amministratori aziendali possono trovare le informazioni richieste rapidamente e esportarle facilmente in CSV, XLSX o addirittura in PDF, facilitando la revisione regolare e accelerando la risoluzione dei problemi.