Liste des groupes hérités d’un utilisateur

Dans cet article je vais vous présenter un script disponible sur les galléries Technet, que j'ai réalisé.

Le but de ce script est de déterminer les groupes auxquels appartient un utilisateur qu'il soit membre directement du groupe ou que l'appartenance soit héritée.

Pour commencer nous avons un utilisateur dont le nom d'ouverture de session est « pbarth ». Cet utilisateur a été ajouté dans le groupe « SG-Service-Informatique ».

Le groupe « SG-service-informatique » est également membre de plusieurs groupes de domaines locaux, permettant l'accès aux ressources.

Dans le module PowerShell il existe la commande PowerShell « Get-ADUser » qui permet de lire l'attribut « memberof » de l'utilisateur, ce qui nous permet de voir les groupes auxquels l'utilisateur appartient directement. Néanmoins la commande ne retourne pas les groupes hérités.

Le script que vous pouvez télécharger ci-dessus fournit une commande « Get-ADUserGroup » qui permet de déterminer les groupes ajoutés dans le jeton de sécurité de l'utilisateur.

Elle se décompose en 2 parties :

  • La première partie effectue une requête LDAP spécifique afin d'obtenir la propriété « tokenGroups » qui renvoie la liste des Sid ajouter dans le jeton de l'utilisateur
  • La deuxième partie traduit le Sid de l'objet vers le nom commun et le nom LDAP de l'objet. La traduction du Sid se fait en effectuant une recherche dans le catalogue global, ce qui permet de retrouver les noms des groupes même dans un environnement multi-domaines. La limite reste la forêt.

L'image ci-dessous vous donne un aperçu du résultat :

Il est possible de préciser le contrôleur de domaine sur lequel la requête sera exécutée avec le paramètre « -DomainController »

 

N'hésitez pas à consulter le script et à apporter un commentaire.

Vous pouvez le télécharger à l'adresse :

https://gallery.technet.microsoft.com/This-function-returns-the-65d774f2?redir=0

 

 

Tags: 

Theme: 

Systeme: 

Annee: