Просмотр групп домена Windows

Обновлено: 21.11.2024

Демонстрация продукта Netwrix SbPAM

30 марта, 16:00 +07

ЗАЩИТА ДАННЫХ

ЗАЩИТА ЛИЧНОСТИ

СООТВЕТСТВИЕ

Семинар для инженеров: как внедрить усиленный стандарт сборки CIS

  • Партнерские программы
  • Партнерский портал
  • Реселлеры
  • MSP
  • Технологические партнеры
  • Найти партнера
  • База знаний
  • Отправить заявку
  • Онлайн-документация
  • Продлить техническое обслуживание
  • Программа поддержки
  • История версий

Как проверить принадлежность к группе объявлений с помощью командной строки

Чтобы увидеть, к каким группам принадлежит конкретный пользователь:

  1. Откройте командную строку, выбрав «Пуск» → «Выполнить» (или нажав Win + R) и введя «cmd».
  2. Введите в командной строке следующую команду, указав учетную запись пользователя, для которой вы хотите найти членство в группе:

Чтобы перечислить всех пользователей в определенной группе:

  1. Откройте командную строку, выбрав «Пуск» → «Выполнить» (или нажав Win + R) и введя «cmd».
  2. Введите следующую команду, указав необходимое имя группы:

Команды NET также работают для локальных пользователей и групп Windows 10.

Чтобы увидеть, к каким группам принадлежит конкретный пользователь:

  1. Запустите Netwrix Auditor → Перейдите в «Отчеты» → Нажмите «Предопределенные» → Разверните раздел «Active Directory» → Перейдите в «Active Directory — Состояние во времени» → Выберите «Учетные записи пользователей — Членство в группах» → Нажмите « Посмотреть".
  2. Укажите «Включено» в поле «Статус» и введите «пользователь» в поле «Тип участника» -> нажмите «Просмотреть отчет».

Чтобы перечислить всех пользователей в определенной группе:

  1. Запустите Netwrix Auditor → Перейдите в «Отчеты» → Нажмите «Предопределенные» → Разверните раздел «Active Directory» → Перейдите в «Active Directory — Состояние во времени» → Выберите «Члены группы» → Нажмите «Просмотр».
  2. Настройте следующие фильтры:
  • Статус: включен
  • Тип участника: Пользователь
  • Групповой путь: групповой путь. Вы можете указать частичный путь к определенной группе, используя % в качестве подстановочного знака, или оставить подстановочный знак, чтобы просмотреть отчет для всех групп.
  1. Нажмите "Просмотреть отчет".

Полная картина вместо того, чтобы возиться с командной строкой

Рекомендации рекомендуют использовать группы Active Directory для предоставления прав доступа пользователям, например, доступа к определенным компьютерам, инструментам и серверам. Но со временем конфигурация группы AD может стать очень сложной, что затрудняет понимание того, кто имеет доступ к чему, и обеспечение того, чтобы у каждого пользователя были только те разрешения, которые ему нужны. ИТ-администраторам часто требуется перечислить членство в каждой группе безопасности или подробно описать все группы, к которым принадлежит конкретный пользователь, а затем либо предоставить эту информацию руководителям отделов для подтверждения привилегий доступа, либо проанализировать ее самостоятельно, чтобы исправить нарушенное наследование и другие проблемы.

Вы можете проверить членство в группе с помощью оснастки консоли «Пользователи и компьютеры Active Directory» (ADUC), найдя интересующего пользователя или группу, развернув свойства объекта и щелкнув вкладку «Члены» или «Член». Другой вариант — получить членство в группе с помощью командной строки — вы можете использовать инструменты dsget user и dsquery group из пакета доменных служб Active Directory (AD DS) или собственные команды NET из командной строки. Однако результаты команд NET GROUP, NET USER и NET LOCALGROUP сложно анализировать, и хотя dsget и dsquery обеспечивают более структурированный вывод, эти команды работают только в серверных версиях Windows и требуют ввода отличительного имени в LDAP Data Interchange. Формат. Последний вариант — использовать командлет PowerShell Get-ADGroupMember, но для этого требуются некоторые навыки написания сценариев. В результате проверка членства в группах Active Directory с помощью собственных инструментов может быть сложной и трудоемкой.

Netwrix Auditor для Active Directory может сэкономить массу драгоценного времени. Вместо проверки членства в группе AD с помощью командной строки системные операторы могут получить сводку о членстве в группе несколькими щелчками мыши. Кроме того, Netwrix Auditor также сообщает об изменениях, действиях при входе в систему и конфигурации Active Directory и групповой политики, включая неактивные учетные записи пользователей и компьютеров, права доступа к объектам Active Directory и многое другое. Он предупредит вас о возможных угрозах и предложит расширенный поиск для ускорения расследования. Вы можете воспользоваться широким набором предустановленных отчетов с возможностью фильтрации, экспорта и подписки, а также легко создавать собственные настраиваемые отчеты. Эта комплексная функциональность упрощает многие распространенные ИТ-задачи, от мониторинга изменений и управления доступом до проверки прав и обнаружения аномального поведения.

Группы безопасности Active Directory используются для предоставления пользователям разрешений на доступ к различным службам и ресурсам домена.Поэтому, чтобы понять, какие разрешения назначены конкретному пользователю в домене AD, достаточно посмотреть группы, в которых состоит учетная запись пользователя.

Получение членства в группе через ADUC

Самый простой и понятный способ получить список групп пользователей в AD — использовать графическую оснастку Active Directory Users & Computers (ADUC).

  1. Запустите оснастку dsa.msc;
  2. Щелкните правой кнопкой мыши корень домена и выберите "Найти";
  3. Введите имя пользователя и нажмите «Найти сейчас».
  4. Откройте свойства пользователя и перейдите на вкладку Участник;
  5. На этой вкладке перечислены группы, членом которых является выбранный пользователь.

Проверка членства в группе AD с помощью командной строки

Вы также можете проверить членство в группе Active Directory с помощью командной строки. Выполните команду:

Как видите, выходные данные команды содержат домен (членство в глобальных группах) и локальные группы (членство в локальных группах) пользователя.

С помощью следующей команды вы можете вывести список групп безопасности, членом которых является ваша учетная запись:

Список членов группы домена:

Основной недостаток описанных выше способов заключается в том, что вложенные группы AD не отображаются (когда группа является членом других групп безопасности).

Вы можете отобразить полный список групп пользователей (включая вложенные) с помощью инструмента dsget. Вместо имени пользователя нужно указать его отличительное имя:

Если вам нужно получить членов определенной группы безопасности, включая членство во вложенных группах, используйте команду:

Когда вам нужно выполнить обратную операцию и отобразить список групп, к которым принадлежит группа, запустите:

С помощью команд dsquery и net group вы можете отобразить членов определенной группы AD:

Как составить список участников группы AD с помощью PowerShell?

Вы также можете проверить членство пользователя в группе AD с помощью командлетов PowerShell: Get-AdUser, Get-ADPrincipalGroupMembership. Для этого на вашем компьютере должен быть установлен модуль PowerShell Active Directory.

Совет. Чтобы использовать модуль AD PowerShell в Windows 10, необходимо установить RSAT.

Отображать только имена пользователей, которые добавлены в определенную группу AD (включая вложенные группы):

Отображение участников группы с подробной информацией о каждом участнике:

Вы можете отображать только определенные атрибуты пользователей в группе:

Список групп Active Directory, членом которых является пользователь, можно просмотреть с помощью следующих команд:

Еще один способ получить список всех членов группы (явный или неявный) — использовать оператор –RecursiveMatch:

Если нас интересует только принадлежность определенного пользователя к определенной группе, мы можем действовать следующим образом:

Вы можете использовать фильтр по названию группы:

Вы можете использовать сложные фильтры LDAP, чтобы получить членство во вложенных группах. Например, чтобы получить полный список групп, к которым принадлежит учетная запись пользователя (включая вложенные группы), используйте команду:

Следующий шаблон сценария PowerShell можно использовать для проверки членства пользователя в определенной группе Active Directory и выполнения некоторых действий в зависимости от членства в группе (имя группы должно быть указано между символами *):

Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

В этом справочном разделе для ИТ-специалистов описываются группы безопасности Active Directory по умолчанию.

В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют физическое лицо (человека или компьютер).Учетные записи пользователей также могут использоваться в качестве выделенных учетных записей служб для некоторых приложений. Группы безопасности используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.

В операционной системе Windows Server имеется несколько встроенных учетных записей и групп безопасности, предварительно настроенных с соответствующими правами и разрешениями для выполнения определенных задач. Для Active Directory существует два типа административных обязанностей:

Администраторы служб. Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.

Администраторы данных. Отвечают за обслуживание данных, хранящихся в доменных службах Active Directory, а также на рядовых серверах и рабочих станциях домена.

О группах Active Directory

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами, а не с отдельными пользователями, упрощает обслуживание и администрирование сети.

В Active Directory есть два типа групп:

Группы рассылки. Используется для создания списков рассылки электронной почты.

Группы безопасности. Используются для назначения разрешений общим ресурсам.

Группы рассылки

Группы рассылки можно использовать только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты группам пользователей. Группы рассылки не защищены, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).

Группы безопасности

Группы безопасности позволяют эффективно назначать доступ к ресурсам в вашей сети. Используя группы безопасности, вы можете:

Назначьте права пользователей группам безопасности в Active Directory.

Права пользователя назначаются группе безопасности, чтобы определять, что члены этой группы могут делать в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.

Например, пользователь, добавленный в группу операторов резервного копирования в Active Directory, может выполнять резервное копирование и восстановление файлов и каталогов, расположенных на каждом контроллере домена в домене. Это возможно благодаря тому, что по умолчанию права пользователя Резервное копирование файлов и каталогов и Восстановление файлов и каталогов автоматически закреплены за группой Операторы резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.

Вы можете использовать групповую политику для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе Назначение прав пользователя.

Назначить разрешения группам безопасности для ресурсов.

Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу, и уровень доступа, например Полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически назначаются для обеспечения различных уровней доступа к группам безопасности по умолчанию, таким как группа «Операторы учетных записей» или группа «Администраторы домена».

Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов. При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются один раз группе, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.

Как и группы рассылки, группы безопасности можно использовать в качестве объекта электронной почты. При отправке сообщения электронной почты группе оно отправляется всем членам группы.

Групповой охват

Группы характеризуются областью действия, определяющей степень применения группы в дереве доменов или лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три группы определяются Active Directory:

В дополнение к этим трем областям, группы по умолчанию в контейнере Builtin имеют область действия встроенной локальной группы. Область действия и тип группы нельзя изменить.

В следующей таблице перечислены три области групп и дополнительная информация о каждой области для группы безопасности.

Групповые области

Глобальные группы из любого домена в одном лесу

Локальный домен домена, если группа не является членом других универсальных групп

Локальные группы в одном лесу или доверяющие леса

Другие глобальные группы из того же домена

Глобальные группы из любого домена или любого доверенного домена

Универсальные группы из любого домена в одном лесу

Другие локальные группы домена из того же домена

Специальные группы идентификации

Особые удостоверения обычно называются группами. Специальные группы удостоверений не имеют конкретного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают в себя Creator Owner, Batch и Authenticated User.

Информацию обо всех специальных группах удостоверений см. в разделе Особые удостоверения.

Группы безопасности по умолчанию

Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Вы можете использовать эти предопределенные группы, чтобы контролировать доступ к общим ресурсам и делегировать определенные административные роли на уровне домена.

Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, например вход в локальную систему или резервное копирование файлов и папок. Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.

Когда вы добавляете пользователя в группу, он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.

Группы по умолчанию расположены в контейнере «Встроенные» и в контейнере «Пользователи» в разделе «Пользователи и компьютеры Active Directory». Контейнер Builtin включает в себя группы, определенные с областью действия "Локальный домен". Включает пользователей содержит группы, которые определены с глобальной областью действия, и группы, которые определены с локальной областью домена. Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или организационные подразделения (OU) внутри домена, но вы не можете перемещать их в другие домены.

Некоторые из административных групп, перечисленных в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.

Дескриптор безопасности присутствует в объекте AdminSDHolder. Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию в зависимости от версии операционной системы

В следующих таблицах приведены описания групп по умолчанию, которые находятся в контейнерах Builtin и Users в каждой операционной системе.

< td>Да < td>Да < /tr> < td>Да < td>Да
Группа безопасности по умолчанию Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2
Операторы управления доступом Да Да Да
Операторы счетов Да Да Да Да
Администраторы Да Да Да Да
Разрешенная группа репликации паролей RODC Да Да Да Да
Операторы резервного копирования Да Да Да Да
Доступ к службе сертификатов DCOM Да Да Да Да
Издатели сертификатов Да Да Да Да
Клонируемые контроллеры домена Да Да Да
Криптографические операторы Да Да Да
Отказано в группе репликации пароля RODC Да Да Да Да
Владельцы устройств Да Да Да Да
Пользователи распределенного COM Да Да Да Да
DnsUpdateProxy Да Да Да Да
DnsAdmins Да Да Да
Администраторы домена Да Да Да Да
Компьютеры домена Да Да Да Да< /td>
Контроллеры домена Да Да Да Да
Гости домена Да Да Да Да
Пользователи домена Да Да Да Да
Администраторы предприятия Да Да Да Да
Ключевые администраторы предприятия Да
Контроллеры домена предприятия только для чтения Да< /td> Да Да Да
Считыватели журнала событий Да Да Да Да
Владельцы-создатели групповой политики Да Да Да Да
Гости Да Да Да
Администраторы Hyper-V Да Да
IIS_IUSRS Да Да Да Да
Входящие формирователи доверия леса Да Да Да Да
Ключевые администраторы Да
Операторы настройки сети< /td> Да Да Да Да
Пользователи журнала производительности Да Да Да Да
Пользователи монитора производительности Да Да Да Да
Доступ, совместимый с Windows 2000 Да Да Да Да
Операторы печати Да Да Да Да
Защищенные пользователи Да Да
Серверы RAS и IAS Да Да Да Да
Конечные серверы RDS Да Да Да
Серверы управления RDS Да Да Да
Серверы удаленного доступа RDS Да Да Да
Контроллеры домена только для чтения Да< /td> Да Да Да
Пользователи удаленного рабочего стола Да Да Да Да
Пользователи удаленного управления Да Да Да
Репликатор Да Да Да Да
Объявление схемы мин Да Да Да Да
Операторы серверов< /td> Да Да Да Да
Администраторы реплики хранилища Да
Группа системных управляемых учетных записей Да
Серверы лицензий серверов терминалов Да Да Да Да
Пользователи Да Да Да Да
Группа доступа авторизации Windows Да Да Да Да
WinRMRemoteWMIUsers_ Да Да

Операторы помощи в управлении доступом

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа «Операторы помощи в управлении доступом» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Эта группа безопасности не менялась со времен Windows Server 2008.

< td>Контейнер по умолчанию < /tr>
Атрибут Значение
Общеизвестный SID/RID S-1-5-32-579
Тип Встроенный Локальный
CN=BuiltIn, DC= , DC=
Элементы по умолчанию Нет
Член по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещать из контейнера по умолчанию? Невозможно переместить
Безопасно делегировать управление этой группой другим -Администраторы службы?
Права пользователя по умолчанию Нет

Операторы аккаунта

Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а также могут локально входить в контроллеры домена.

Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.

Группа «Операторы учетных записей» относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

По умолчанию в этой встроенной группе нет участников, и она может создавать и управлять пользователями и группами в домене, включая собственное членство и членство в группе «Операторы сервера». Эта группа считается группой администраторов службы, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для какого-либо делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.

Эта группа безопасности не менялась со времен Windows Server 2008.

< td>Контейнер по умолчанию < /tr>
Атрибут Значение
Общеизвестный SID/RID S-1-5-32-548
Тип Встроенная локальная
CN=BuiltIn, DC= , DC=
Элементы по умолчанию Нет
Член по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещать из контейнера по умолчанию? Невозможно переместить
Безопасно делегировать управление этой группой другим -Администраторы службы? Нет
Права пользователя по умолчанию Разрешить локальный вход: SeInteractiveLogonRight

Администраторы

Члены группы «Администраторы» имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.

Группа администраторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.

Группа «Администраторы» имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.

Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия. Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.

Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:

Изменения в правах пользователя по умолчанию: Разрешить вход через службы терминалов, существовавший в Windows Server 2008, был заменен на Разрешить вход через службы удаленных рабочих столов.

Удаление компьютера с док-станции было удалено в Windows Server 2012 R2.

Уолтер Гленн

Уолтер Гленн
Бывший главный редактор

Уолтер Гленн – бывший главный редактор How-To Geek и связанных с ним сайтов. Он имеет более чем 30-летний опыт работы в компьютерной индустрии и более 20 лет в качестве технического писателя и редактора. Он написал сотни статей для How-To Geek и отредактировал тысячи.Он является автором или соавтором более 30 книг о компьютерах на более чем дюжине языков для таких издательств, как Microsoft Press, O'Reilly и Osborne/McGraw-Hill. Он также написал сотни технических документов, статей, руководств пользователя и курсов. Подробнее.

Группа безопасности — это просто набор учетных записей пользователей. Права и разрешения назначаются группе, а затем эти права и разрешения предоставляются любой учетной записи, которая является членом группы. Членство в группе может определять доступ пользователя к файлам, папкам и даже системным настройкам. Вот как можно узнать, к каким группам принадлежит учетная запись пользователя Windows.

Используйте инструмент «Локальные пользователи и группы» для быстрого просмотра

Если вы просто хотите быстро просмотреть локальные группы, к которым принадлежит учетная запись пользователя, инструмент «Локальные пользователи и группы» прекрасно справится с этой задачей. Обратите внимание, что для запуска этого инструмента вам потребуется войти в Windows с учетной записью с правами администратора.

Нажмите Windows+R, введите «lusrmgr.msc» в поле «Выполнить» и нажмите Enter.

В окне "Локальные пользователи и группы" выберите папку "Пользователи", а затем дважды щелкните учетную запись пользователя, которую хотите просмотреть.

В окне свойств учетной записи пользователя перейдите на вкладку «Участник». На этой вкладке показаны локальные группы, к которым принадлежит учетная запись пользователя, а также вы можете добавить учетную запись в другие группы.

Используйте PowerShell (или командную строку) для более подробного просмотра

Если вы хотите получить более подробную информацию о членстве учетной записи в группе, включая скрытые системные группы, к которым принадлежит учетная запись, вам потребуется запустить PowerShell (или командную строку; обсуждаемая нами команда работает там же).

Нажмите Windows+X, а затем выберите параметр «Windows PowerShell».

По запросу введите следующую команду и нажмите Enter:

К сожалению, в отличие от инструмента "Локальные пользователи и группы", который мы рассмотрели в предыдущем разделе, команда whoami не позволяет вам извлекать группы для какой-либо учетной записи пользователя, кроме той, с которой вы вошли в систему в данный момент.

  • › 7 основных функций Microsoft Excel для составления бюджета
  • › 5 вещей, которые вы, вероятно, не знали о GIF-файлах
  • › Что означает XD и как вы его используете?
  • › Худшее, что есть в телефонах Samsung, — это программное обеспечение Samsung.
  • › Что такое GrapheneOS и как она делает Android более приватным?
  • › Почему СМС должен умереть

Читайте также: