Comment trouver les groupes Active Directory dont je suis membre ?

Active Directory, Avantages pour l’IT

groupes active directory

La possibilité d’administrer et de tenir à jour les listes et groupes d’utilisateurs est critique à la sécurité d’une organisation.

Utiliser le GUI

Il y a plusieurs moyens de déterminer à quels groupes appartient un utilisateur. Vous pouvez tout d’abord adopter l’approche consistant à utiliser le GUI (Graphical User Interface) :

  1. Allez à « Utilisateurs et ordinateurs Active Directory ».
  2. Cliquez sur « Utilisateur » ou sur le dossier contenant le compte de l’utilisateur.
  3. Faites un clic droit sur le compte de l’utilisateur et sélectionnez « Propriétés ».
  4. Cliquez sur l’onglet « Membre de ».

Utiliser la ligne de commandes

Vous n’avez pas envie de cliquer à droite et à gauche ? Quelles sont les possibilités offertes par la console ?

  1. Ouvrez une invite de commandes (cmd.exe ou PowerShell)
  2. Exécutez : gpresult /V

Vous obtenez quelque chose ressemblant à ce qui suit (je n’ai gardé que ce qui concerne les informations sur les groupes) :

L’utilisateur fait partie des groupes de sécurité suivants :
– Les utilisateurs du domaine
– Tout le monde
– BUILTIN\Utilisateurs
– AUTORITE NT\INTERACTIVE
– OUVERTURE DE SESSION CONSOLE
– AUTORITE NT\Utilisateurs authentifiés
– Cette organisation
– LOCAL
– Marketing

Vous pouvez également exécuter whoami /groups qui vous donnera des informations similaires. Cette commande affichera aussi la liste des groupes de distribution et leurs imbrications (si vous faites partie de Groupe A qui est lui-même un membre de Groupe B, la commande affichera Groupe B).

Toujours pas satisfait ? Essayez alors net user [username] domain.

La question essentielle

Comme vous pouvez le constater, il existe plusieurs méthodes pour vérifier l’appartenance aux groupes Active Directory, que ce soit manuellement ou par programmation. Mais la question qui reste presque toujours sans réponse est la suivante : « À quoi ce groupe donne-t-il exactement accès ? »

Il est particulièrement difficile de répondre à cette question lorsque vos groupes portent des noms peu parlants, mais même lorsque ces noms sont explicites, les erreurs sont toujours possibles et vous découvrirez certainement des groupes donnant un accès injustifié aux données.

Prochaines étapes pratiques

Alors, comment allez-vous faire le lien entre les appartenances aux groupes Active Directory et les fichiers, dossiers, sites SharePoint et messageries auxquels ils sont associés ? Si vous n’utilisez que les outils natifs et les options d’administration de Windows, cette tâche risque d’être titanesque et interminable.

Bénéficiez d’une démonstration individuelle de Varonis DatAdvantage pour découvrir un moyen plus raisonnable, plus simple et surtout plus sécurisé d’administrer vos utilisateurs Active Directory.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, actuel assistant marketing chez Varonis, en parallèle de ses études en Risques et Cybersécurité à l'EGE. Adrien prépare sa carrière de consultant en cybersécurité, risques et conformité, en fournissant pour la région EMEA, du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.