Die Fähigkeit, aktuelle Benutzerlisten und -gruppen zu verwalten und zu pflegen, ist entscheidend für die Sicherheit eines Unternehmens.
Es gibt eine Reihe verschiedener Möglichkeiten, um festzustellen, zu welchen Gruppen ein Benutzer gehört. Einerseits können Sie den Ansatz über das GUI wählen:
Aber das Herumklicken ist etwas nervig, nicht wahr? Wie wäre es mit einigen Möglichkeiten für die Befehlszeile?
gpresult /V aus.Ihnen wird dann ein Ergebnis wie das folgende angezeigt (ich habe es beschnitten, so dass es nur die Gruppeninformationen enthält):
Durch Ausführen von whoami /groups würden Sie ähnliche Informationen erhalten. Der Befehl listet auch Verteilergruppen und Verschachtelungen auf (z. B. wird, wenn Sie zu Gruppe A gehören, die ihrerseits ein Mitglied von Gruppe B ist, Gruppe B angezeigt).
Noch nicht zufrieden? Sie können als weitere Option net user [Benutzername] domain ausprobieren.
Wie Sie sehen, gibt es viele Wege, um die Mitgliedschaft in Active Directory-Gruppen manuell oder auf Programmierebene zu überprüfen. Die Frage, auf die fast immer keine Antwort gefunden wird, ist jedoch: „Worauf genau kann man mit dieser Gruppe zugreifen?“
Das ist besonders bei Gruppen mit schlechter Namensgebung schwierig herauszufinden. Aber selbst bei vorbildlichen Gruppennamen kommt es zu Fehlern, und Sie werden eigentlich immer Gruppen finden, die unerwünschten Datenzugriff ermöglichen.
Wie ziehen Sie also die Verbindungslinien zwischen Active Directory-Gruppenmitgliedschaften und den Dateien, Ordnern, SharePoint-Sites und Posteingängen, mit denen sie verbunden sind? Wenn Sie dazu nur native Tools und Verwaltungsoptionen von Windows verwenden, ist das eine überwältigende und zeitraubende Aufgabe.
Vereinbaren Sie eine 1-zu-1-Demo von Varonis DatAdvantage, um sich eine vernünftigere, einfachere und vor allem sichere Möglichkeit zur Verwaltung Ihrer Active Directory-Benutzer zeigen zu lassen.
