Главная

Monday, 23 September 2019

Проверка членства в группах администрирования.

Привет, привет.

Время от времени необходимо проверять членство в группах администрирования вашего домена. Особенно это полезно после перехода-увольнения одного из администраторов.

Для начала получим список групп с вхождением слова "Admin":

Get-ADGroup -filter 'Name -like "*Admin*"' | Select name

Далее следует проверить главные группы администрирования:

Get-ADGroupMember "Domain Admins" | Select name,SamAccountName
Get-ADGroupMember "Administrators" | Select name,SamAccountName

А также все остальные группы в зависимости от результата первого запроса:

Get-ADGroupMember "Local-Admins" | Select name,SamAccountName
Get-ADGroupMember "Hyper-V Administrators" | Select name,SamAccountName
Get-ADGroupMember "Key Admins" | Select name,SamAccountName
и т.д.

Также неплохо было бы глянуть кто находится в группе с правами удаленного подключения
(Remote) к хостам домена:

Get-ADGroup -filter 'Name -like "*Remote*"' | Select name
Get-ADGroupMember "Remote Desktop Users" | Select name

Ну а если есть кто подозрительный то его следует отдельно проверить на членство
в группах администрирования:

get-ADUser UserName -property MemberOf | foreach {$_.MemberOf -like "*Admin*"}


No comments:

Post a Comment

А что вы думаете по этому поводу?