А АSunday 29 August 2021

Аудит членства локальных групп.


Всем привет.

По причинам удаленной работы и популярности VPN время от времени наблюдаем как ряд локальных(или доменных) учетных записей вносятся в члены локальных групп администраторов или пользователей удаленного стола конкретного хоста. Со временем они забываются и там остаются, даже если необходимость в них отпадает. Это небезопасно. Поэтому, как минимум, надо провести аудит их наличия на хостах.

Используем для этого Powershell. Итак, выберем членов соответствующих групп у которых PrincipalSource указано Local, что говорит от том учетная запись именно локальная.

Get-LocalGroupMember -Name Administrators | where -Property PrincipalSource -eq Local

Get-LocalGroupMember -Name "Remote Desktop Users"  

или так:

Get-LocalGroupMember -Name Администраторы | where -Property PrincipalSource -eq Local

Get-LocalGroupMember -Name "Пользователи удаленного рабочего стола" 


Get-LocalUser | Select -Property Name,Enabled,LastLogon,Description


Если в выводе Get-LocalGroupMember мы получаем в поле PrincipalSource значение ActiveDirectory то уточняем учетные записи пользователей как, например, для группы WS-Local-Admins:

Get-ADGroupMember 'WS-Local-Admins' | Select name | Sort name

Такой запрос хорошо работает локально. Для аудита локальных пользователей на удаленном компьютере нужно сначала подключится к нему через WinRM командлетами Invoke-Command или Enter-PSSession. Например, так можно собрать список учетных записей в локальной группе на удаленных хостах:

$UserCredential = Get-Credential

$S = New-PSSession -CN pc01,pc02,pc03 -Credential $UserCredential

Invoke-Command -scriptblock {Get-LocalGroupMember -Name "Remote Desktop Users"} -session $s -hidecomputername |

 select * -exclude RunspaceID | Out-Gridview -title "Remote Desktop Users"

или так:

Invoke-Command -FilePath .\list.ps1 -session $s -hidecomputername | select * -exclude RunspaceID | Out-Gridview -title "Local Admins"

где list.ps1 содержит:

Get-LocalGroupMember -Name Administrators | where -Property PrincipalSource -eq Local

Get-LocalGroupMember -Name "Remote Desktop Users"  

Get-LocalUser | Select -Property Name,Enabled,LastLogon,Description

Успехов.

Posted by Nyukers в 05:00
По ключу: ,

No comments:

Post a Comment

А что вы думаете по этому поводу?

Subscribe to: Post Comments (Atom)

Версия на печать

Популярное

  • Высота строки в MS Excel 409 пт и больше.
    Всем привет. В прошлом году я вам показывал фокус с защитой листа в MS Excel 2010. Но как оказалось в великом и могучем MS Excel сюр...
  • Настройка DameWare Mini Remote Control.
    Всем привет. Знакомый администратор был приятно впечатлен функционалом DameWare Mini Remote Control . Для него пришлось вспомнить парочку ме...
  • Локальная статистика печати.
    Всем привет.  Zabbix это хорошо, но реалии таковы что в каждой фирме случаются принтера которые имеют USB-подключение, и тем не менее...
  • Отключаем IP Autoconfiguration.
    Всем привет. Такую ситуацию я наблюдал на виртуальных машинах VmWare , которые имеют IP-адрес реальной машины,  а именно - Windows после зап...
  • Nping - еще один универсальный пинглер.
    Всем привет. Я уже говорил о разных утилитах для тестирования сети, таких как iperf, hping , fping и других. Оказывается существует утилита...