La possibilité d’administrer et de tenir à jour les listes et groupes d’utilisateurs est critique à la sécurité d’une organisation.
Utiliser le GUI
Il y a plusieurs moyens de déterminer à quels groupes appartient un utilisateur. Vous pouvez tout d’abord adopter l’approche consistant à utiliser le GUI (Graphical User Interface) :
- Allez à « Utilisateurs et ordinateurs Active Directory ».
- Cliquez sur « Utilisateur » ou sur le dossier contenant le compte de l’utilisateur.
- Faites un clic droit sur le compte de l’utilisateur et sélectionnez « Propriétés ».
- Cliquez sur l’onglet « Membre de ».
Utiliser la ligne de commandes
Vous n’avez pas envie de cliquer à droite et à gauche ? Quelles sont les possibilités offertes par la console ?
- Ouvrez une invite de commandes (cmd.exe ou PowerShell)
- Exécutez : gpresult /V
Vous obtenez quelque chose ressemblant à ce qui suit (je n’ai gardé que ce qui concerne les informations sur les groupes) :
| L’utilisateur fait partie des groupes de sécurité suivants : |
| – Les utilisateurs du domaine |
| – Tout le monde |
| – BUILTIN\Utilisateurs |
| – AUTORITE NT\INTERACTIVE |
| – OUVERTURE DE SESSION CONSOLE |
| – AUTORITE NT\Utilisateurs authentifiés |
| – Cette organisation |
| – LOCAL |
| – Marketing |
Vous pouvez également exécuter whoami /groups qui vous donnera des informations similaires. Cette commande affichera aussi la liste des groupes de distribution et leurs imbrications (si vous faites partie de Groupe A qui est lui-même un membre de Groupe B, la commande affichera Groupe B).
Toujours pas satisfait ? Essayez alors net user [username] domain.
La question essentielle
Comme vous pouvez le constater, il existe plusieurs méthodes pour vérifier l’appartenance aux groupes Active Directory, que ce soit manuellement ou par programmation. Mais la question qui reste presque toujours sans réponse est la suivante : « À quoi ce groupe donne-t-il exactement accès ? »
Il est particulièrement difficile de répondre à cette question lorsque vos groupes portent des noms peu parlants, mais même lorsque ces noms sont explicites, les erreurs sont toujours possibles et vous découvrirez certainement des groupes donnant un accès injustifié aux données.
Téléchargez un Livre-Blanc sur la sécurité d'AD
"Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "
Prochaines étapes pratiques
Alors, comment allez-vous faire le lien entre les appartenances aux groupes Active Directory et les fichiers, dossiers, sites SharePoint et messageries auxquels ils sont associés ? Si vous n’utilisez que les outils natifs et les options d’administration de Windows, cette tâche risque d’être titanesque et interminable.
Bénéficiez d’une démonstration individuelle de Varonis DatAdvantage pour découvrir un moyen plus raisonnable, plus simple et surtout plus sécurisé d’administrer vos utilisateurs Active Directory.
Adrien Rahmati-Georges
Former IT student, formed in Cybersecurity, Risks and Competitive Intelligence. As a Marketing Coordinator at Varonis, I am providing for the EMEA region, French and German content, written by our amazing Varonis authors !
Varonis debuts trailblazing features for securing Salesforce. Learn More
Inside Out Security
Inside Out - Blog CyberSécurité Blog / Sécurité des données / Active Directory / Produits Varonis
Comment trouver les groupes Active Directory dont je suis membre ?
1 min read
|Last updated June 4, 2020
Sommaire
La possibilité d’administrer et de tenir à jour les listes et groupes d’utilisateurs est critique à la sécurité d’une organisation.
Utiliser le GUI
Il y a plusieurs moyens de déterminer à quels groupes appartient un utilisateur. Vous pouvez tout d’abord adopter l’approche consistant à utiliser le GUI (Graphical User Interface) :
Utiliser la ligne de commandes
Vous n’avez pas envie de cliquer à droite et à gauche ? Quelles sont les possibilités offertes par la console ?
Vous obtenez quelque chose ressemblant à ce qui suit (je n’ai gardé que ce qui concerne les informations sur les groupes) :
Vous pouvez également exécuter whoami /groups qui vous donnera des informations similaires. Cette commande affichera aussi la liste des groupes de distribution et leurs imbrications (si vous faites partie de Groupe A qui est lui-même un membre de Groupe B, la commande affichera Groupe B).
Toujours pas satisfait ? Essayez alors net user [username] domain.
La question essentielle
Comme vous pouvez le constater, il existe plusieurs méthodes pour vérifier l’appartenance aux groupes Active Directory, que ce soit manuellement ou par programmation. Mais la question qui reste presque toujours sans réponse est la suivante : « À quoi ce groupe donne-t-il exactement accès ? »
Il est particulièrement difficile de répondre à cette question lorsque vos groupes portent des noms peu parlants, mais même lorsque ces noms sont explicites, les erreurs sont toujours possibles et vous découvrirez certainement des groupes donnant un accès injustifié aux données.
Téléchargez un Livre-Blanc sur la sécurité d'AD
Prochaines étapes pratiques
Alors, comment allez-vous faire le lien entre les appartenances aux groupes Active Directory et les fichiers, dossiers, sites SharePoint et messageries auxquels ils sont associés ? Si vous n’utilisez que les outils natifs et les options d’administration de Windows, cette tâche risque d’être titanesque et interminable.
Bénéficiez d’une démonstration individuelle de Varonis DatAdvantage pour découvrir un moyen plus raisonnable, plus simple et surtout plus sécurisé d’administrer vos utilisateurs Active Directory.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Adrien Rahmati-Georges
Former IT student, formed in Cybersecurity, Risks and Competitive Intelligence. As a Marketing Coordinator at Varonis, I am providing for the EMEA region, French and German content, written by our amazing Varonis authors !
Nous sommes Varonis.
Comment fonctionne Varonis ?Keep reading
November 22, 2016
Comment retrouver les groupes Active Directory dont je suis membre ?
May 1, 2021
Docker vs Kubernetes