La possibilité d’administrer et de tenir à jour les listes et groupes d’utilisateurs est critique à la sécurité d’une organisation.
Utiliser le GUI
Il y a plusieurs moyens de déterminer à quels groupes appartient un utilisateur. Vous pouvez tout d’abord adopter l’approche consistant à utiliser le GUI (Graphical User Interface) :
- Allez à « Utilisateurs et ordinateurs Active Directory ».
- Cliquez sur « Utilisateur » ou sur le dossier contenant le compte de l’utilisateur.
- Faites un clic droit sur le compte de l’utilisateur et sélectionnez « Propriétés ».
- Cliquez sur l’onglet « Membre de ».
Utiliser la ligne de commandes
Vous n’avez pas envie de cliquer à droite et à gauche ? Quelles sont les possibilités offertes par la console ?
- Ouvrez une invite de commandes (cmd.exe ou PowerShell)
- Exécutez : gpresult /V
Vous obtenez quelque chose ressemblant à ce qui suit (je n’ai gardé que ce qui concerne les informations sur les groupes) :
| L’utilisateur fait partie des groupes de sécurité suivants : |
| – Les utilisateurs du domaine |
| – Tout le monde |
| – BUILTIN\Utilisateurs |
| – AUTORITE NT\INTERACTIVE |
| – OUVERTURE DE SESSION CONSOLE |
| – AUTORITE NT\Utilisateurs authentifiés |
| – Cette organisation |
| – LOCAL |
| – Marketing |
Vous pouvez également exécuter whoami /groups qui vous donnera des informations similaires. Cette commande affichera aussi la liste des groupes de distribution et leurs imbrications (si vous faites partie de Groupe A qui est lui-même un membre de Groupe B, la commande affichera Groupe B).
Toujours pas satisfait ? Essayez alors net user [username] domain.
La question essentielle
Comme vous pouvez le constater, il existe plusieurs méthodes pour vérifier l’appartenance aux groupes Active Directory, que ce soit manuellement ou par programmation. Mais la question qui reste presque toujours sans réponse est la suivante : « À quoi ce groupe donne-t-il exactement accès ? »
Il est particulièrement difficile de répondre à cette question lorsque vos groupes portent des noms peu parlants, mais même lorsque ces noms sont explicites, les erreurs sont toujours possibles et vous découvrirez certainement des groupes donnant un accès injustifié aux données.
Téléchargez un Livre-Blanc sur la sécurité d'AD
"Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "
Prochaines étapes pratiques
Alors, comment allez-vous faire le lien entre les appartenances aux groupes Active Directory et les fichiers, dossiers, sites SharePoint et messageries auxquels ils sont associés ? Si vous n’utilisez que les outils natifs et les options d’administration de Windows, cette tâche risque d’être titanesque et interminable.
Bénéficiez d’une démonstration individuelle de Varonis DatAdvantage pour découvrir un moyen plus raisonnable, plus simple et surtout plus sécurisé d’administrer vos utilisateurs Active Directory.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Adrien Rahmati-Georges
Ancien étudiant en informatique, formé à la cybersécurité, aux risques et à la veille concurrentielle. En tant que coordinatrice marketing chez Varonis, je fournis pour la région EMEA des contenus en français et en allemand, rédigés par nos formidables auteurs Varonis !
Comment trouver les groupes Active Directory dont je suis membre ?
Contenu
La possibilité d’administrer et de tenir à jour les listes et groupes d’utilisateurs est critique à la sécurité d’une organisation.
Utiliser le GUI
Il y a plusieurs moyens de déterminer à quels groupes appartient un utilisateur. Vous pouvez tout d’abord adopter l’approche consistant à utiliser le GUI (Graphical User Interface) :
Utiliser la ligne de commandes
Vous n’avez pas envie de cliquer à droite et à gauche ? Quelles sont les possibilités offertes par la console ?
Vous obtenez quelque chose ressemblant à ce qui suit (je n’ai gardé que ce qui concerne les informations sur les groupes) :
Vous pouvez également exécuter whoami /groups qui vous donnera des informations similaires. Cette commande affichera aussi la liste des groupes de distribution et leurs imbrications (si vous faites partie de Groupe A qui est lui-même un membre de Groupe B, la commande affichera Groupe B).
Toujours pas satisfait ? Essayez alors net user [username] domain.
La question essentielle
Comme vous pouvez le constater, il existe plusieurs méthodes pour vérifier l’appartenance aux groupes Active Directory, que ce soit manuellement ou par programmation. Mais la question qui reste presque toujours sans réponse est la suivante : « À quoi ce groupe donne-t-il exactement accès ? »
Il est particulièrement difficile de répondre à cette question lorsque vos groupes portent des noms peu parlants, mais même lorsque ces noms sont explicites, les erreurs sont toujours possibles et vous découvrirez certainement des groupes donnant un accès injustifié aux données.
Téléchargez un Livre-Blanc sur la sécurité d'AD
Prochaines étapes pratiques
Alors, comment allez-vous faire le lien entre les appartenances aux groupes Active Directory et les fichiers, dossiers, sites SharePoint et messageries auxquels ils sont associés ? Si vous n’utilisez que les outils natifs et les options d’administration de Windows, cette tâche risque d’être titanesque et interminable.
Bénéficiez d’une démonstration individuelle de Varonis DatAdvantage pour découvrir un moyen plus raisonnable, plus simple et surtout plus sécurisé d’administrer vos utilisateurs Active Directory.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Adrien Rahmati-Georges
Ancien étudiant en informatique, formé à la cybersécurité, aux risques et à la veille concurrentielle. En tant que coordinatrice marketing chez Varonis, je fournis pour la région EMEA des contenus en français et en allemand, rédigés par nos formidables auteurs Varonis !