Время от времени необходимо проверять членство в группах администрирования вашего домена. Особенно это полезно после перехода-увольнения одного из администраторов.
Для начала получим список групп с вхождением слова "Admin":
Get-ADGroup -filter 'Name -like "*Admin*"' | Select name
Далее следует проверить главные группы администрирования:
Get-ADGroupMember "Domain Admins" | Select name,SamAccountName
Get-ADGroupMember "Administrators" | Select name,SamAccountName
А также все остальные группы в зависимости от результата первого запроса:
Get-ADGroupMember "Local-Admins" | Select name,SamAccountName
Get-ADGroupMember "Hyper-V Administrators" | Select name,SamAccountName
Get-ADGroupMember "Key Admins" | Select name,SamAccountName
и т.д.
Также неплохо было бы глянуть кто находится в группе с правами удаленного подключения
(Remote) к хостам домена:
Get-ADGroup -filter 'Name -like "*Remote*"' | Select name
Get-ADGroupMember "Remote Desktop Users" | Select name
Ну а если есть кто подозрительный то его следует отдельно проверить на членство
в группах администрирования:
get-ADUser UserName -property MemberOf | foreach {$_.MemberOf -like "*Admin*"}
No comments:
Post a Comment
А что вы думаете по этому поводу?