Como obter grupos de AD para usuários

Netwrix Auditor for Active Directory

• Execute o Netwrix Auditor. Navegue até “Relatórios” -> Clique em “Predefinido” -> Expanda a seção “Active Directory” -> Vá para “Active Directory – Estado no Tempo” -> Selecione “Membros do Grupo” -> Clique em “Visualizar”.
• Especifique “Enabled” no campo “Status” e digite “user” no campo “Member Type” -> Clique em “View Report”.
• Revise seu relatório:

• Para exportar o relatório para um arquivo, clique no botão "Floppy" e escolha o formato desejado.

Saiba mais sobre Netwrix Auditor for Active Directory

Solução Nativa

• Abra o PowerShell ISE no seu controlador de domínio e execute o seguinte script PowerShell:

      import-module activedirectory 
$Path = "C:\Temp\UserGroups.csv" 
$username = "*" 
$ADuser = Get-ADUser -filter {(Name -like $username -or SamAccountName -like $username) -and (Enabled -eq $true)}  

$out = foreach($user in $ADuser)    { 
   $groups = Get-ADPrincipalGroupMembership $user 
   foreach ($group in $groups){ 
   $rec = New-Object PSObject 
       foreach($GP in $group.psobject.Properties) { 
               foreach($UP in $user.psobject.Properties) { 
               $rec | Add-Member -Type NoteProperty -Name ("U_" + $UP.Name) -Value $UP.value -Force 
               $rec | Add-Member -Type NoteProperty -Name ("G_" + $GP.Name) -Value $GP.value -Force 
               } 
       } 
       $rec|select U_Name, U_DistinguishedName,G_name,G_GroupCategory, G_GroupScope, G_distinguishedName 
   } 
} 
$out |Export-Csv $Path -NoTypeInformation
      

Para listar nomes de grupos para uma única identidade de usuário, substitua "*" pelo nome da conta do usuário.

Para um relatório resumido com menos informações, você pode omitir campos da declaração $rec|select.

Você pode deixar apenas U_Name (ou U_SamAccountName) e G_name (ou G_SamAccountName) para obter somente o resumo do Nome de Usuário + Nome do Grupo.

• Revise o relatório em .csv:

Obtenha Relatórios sobre a Associação de Grupos do AD

As melhores práticas recomendam o uso de grupos AD para atribuir direitos de acesso aos usuários. No entanto, com o tempo, a estrutura de grupos AD pode se tornar bastante complexa, o que dificulta saber quem tem acesso a quê. Para revisar os direitos de acesso ou solucionar problemas de permissões manualmente, os administradores de domínio precisam verificar a quais grupos os usuários pertencem e, em seguida, analisar as permissões concedidas aos grupos listados.

Uma maneira mais fácil de obter informações sobre a associação de grupos de usuários é usar o PowerShell. Se a estrutura do seu AD for simples, você pode obter caminhos de grupo e usuário utilizando o cmdlet Get-ADPrincipalGroupMembership do módulo PowerShell do Active Directory. (Para listar a associação de computadores, você tem que usar comandos diferentes.) No entanto, se a sua organização possui uma extensa lista de nomes de grupos, usar o PowerShell não é uma opção viável para mais do que análises ad-hoc ocasionais.

Netwrix Auditor simplifica drasticamente a revisão e a resolução de problemas de associação a grupos. Você pode obter grupos AD para usuários apenas executando um relatório predefinido. Não há necessidade de usar PowerShell, então você não precisa gastar tempo escrevendo e mantendo scripts. Administradores empresariais podem encontrar as informações necessárias prontamente e exportá-las facilmente para CSV, XLSX ou até mesmo PDF, facilitando a revisão regular e acelerando a resolução de problemas.