Como obter a associação de grupo de usuário AD com ou sem PowerShell

Netwrix Auditor para Active Directory

1. Execute o Netwrix Auditor → Acesse "Relatórios" → Expanda a seção "Active Directory" → Vá para "Active Directory - Estado no Tempo" → Selecione "Contas de Usuário - Associação a Grupos"→ Clique em 'Visualizar'. Você também pode procurar pela associação a grupos de um usuário específico.
2. Para salvar o relatório, clique no botão "Exportar" → Escolha um formato no menu suspenso → Clique em "Salvar".

---

Solução Nativa

1. Abra o PowerShell ISE.
   Se você não tem o módulo do Active Directory instalado na sua máquina Windows, precisa baixar o pacote correto de Remote Server Administration Tools (RSAT) para o seu sistema operacional.
   Para ativar o módulo, use o comando import-module ActiveDirectory de um prompt elevado do PowerShell.
2. Execute um dos seguintes scripts PowerShell, especificando o nome da conta de usuário do AD (samaccountname) de seu interesse e o caminho para exportação.

Import-Module ActiveDirectory

$UserName = “Administrator“

$ReportPath = “C:\data\ADUserGroups.csv“

Get-ADPrincipalGroupMembershipwindows $Username | select name, groupcategory, groupscope | export-CSV C:\data\ADUserGroups.csv

• Get-ADPrincipalGroupMembership cmdlet retrieves Active Directory group membership for the specified user. It displays information about each group, including the name, category (Security or Distribution), and scope (Global, Universal, or Domain Local). This cmdlet looks directly into the group’s memberOf property. The above script will generate output as a CSV file, using the export-CSV cmdlet with pipeline symbol, and open the file in MS Excel.

• O cmdlet Get-ADUser no Windows PowerShell pode recuperar informações sobre usuários do Active Directory. Ele permite que você consulte muitos atributos dos objetos de usuário armazenados no Active Directory. Este cmdlet também funciona para qualquer partição AD ou uma instância do AD LDS (Lightweight Directory Services). O script abaixo usa o parâmetro -Properties e MemberOf como valores para obter uma lista de grupos no formato LDIF contendo os nomes distintos dos grupos. Este método não é adequado para relatórios, pois fornece a saída em um formato de nome distinto por padrão:

Import-Module ActiveDirectory

$UserName = “Administrator“

$ReportPath = “C:\data\ADUserGroups.txt“

#-O parâmetro Identity pode ser usado, ou apenas o valor pode ser fornecido como $UserName

(Get-ADUser $UserName –Properties MemberOf | Select MemberOf).MemberOf |Out-File -FilePath $reportpath

Se o usuário do Windows logado não tiver privilégios para executar o script, você precisa fornecer as credenciais alternativas para executar o script através do parâmetro -Credential, que fornece a autenticação para o PowerShell.

Saiba mais sobre Netwrix Auditor for Active Directory

Obtenha o relatório de associação de grupo de usuário AD sem a tediosa manipulação do PowerShell

O princípio do menor privilégio exige que você restrinja os direitos de acesso dos usuários aos ativos específicos de que eles precisam para realizar seu trabalho diário. Ao remover permissões desnecessárias, você fortalece a segurança e reduz sua área de superfície de ataque limitando o dano que pode ser feito se um usuário decidir abusar de seus direitos de acesso ou a conta for comprometida por atacantes ou malware.

Para impor essa melhor prática com ferramentas nativas, você pode revisar manualmente as propriedades de objetos de usuário no ADUC ou obter dados sobre a associação de grupos do AD usando scripts do PowerShell para gerar relatórios que detalham nomes específicos de grupos locais de domínio (como EnterpriseAdmins e Domain Administrators) e verificar manualmente a quais grupos uma determinada conta de usuário pertence. No entanto, ambas as opções consomem seu valioso tempo. Além disso, revisar listas de associação de grupos do Active Directory pode ser trabalhoso, especialmente em ambientes complexos devido ao alto número de grupos de segurança e grupos aninhados. Além disso, se você quiser filtrar seu relatório ou adicionar mais detalhes, precisará de mais conhecimento em scripts do PowerShell e parâmetros de cmdlet.

Com o Netwrix Auditor para Active Directory, são necessários apenas alguns cliques para obter um relatório compreensível enriquecido com todos os detalhes necessários para verificar a quais grupos um determinado usuário pertence. Você pode facilmente exportar os resultados para os formatos CSV ou PDF e enviá-los aos chefes de departamento para análise. Você pode até configurar assinaturas para si mesmo e outros funcionários que precisam participar de revisões regulares de direitos; essas pessoas receberão automaticamente conforme a programação que você especificar, sem nenhum esforço adicional.