Tarina sisäkkäisistä AD -suojausryhmistä ja ConfigMgr: stä

Sitä tapahtuu jatkuvasti, järjestelmänvalvojien on vastattava kysymykseen "Mihin ryhmiin käyttäjä kuuluu?" Normaalisti avaat Active Directoryn käyttäjät ja tietokoneet (ADUC) -konsoli, etsi kyseinen käyttäjä ja katso Jonkin jäsen välilehti, eikö? Mitä tapahtuu, jos organisaatiossasi on sisäkkäisiä AD -suojausryhmiä? Mitä tässä vaiheessa saatat ihmetellä, onko tällä tekemistä Configuration Manager: n (ConfigMgr) kanssa? No, vastaus tähän kysymykseen on, mistä tässä tarinassa on kyse.

Sisäkkäiset AD -suojausryhmät - AD

I am using GartekMorgan for this example. This is the user account that I use for testing and it normally is a low-rights user account. However, to help explain the problem, I temporarily added Morgan to the Domain Admins security group. When I check Active Directory (AD), I see that Morgan only belongs to two groups (see the above screenshot), “Domain Admins,” and, “Domain Users,” or does he? I am going to have to take a look at this more closely.

ConfigMgr- ja AD -suojausryhmät

Sisäkkäiset AD -suojausryhmät - etsintämenetelmät

Jokainen ConfigMgr -järjestelmänvalvoja tietää, että konsolissa on useita etsintämenetelmiä. Tässä blogikirjoituksessa tarkoitan Active Directory -ryhmän etsintä, Active Directory -järjestelmän etsintä ja Active Directoryn käyttäjähaku. Nämä kolme etsintämenetelmää (aivan kuten heidän nimensä viittaavat) löytävät tietokoneita, käyttäjiä ja ryhmäjäseniä AD: sta. Tämä tarkoittaa sitä, että kun otat nämä etsintämenetelmät käyttöön, voit selvittää kuka kuuluu mihin tahansa AD -suojausryhmään käyttämällä ConfigMgr -raportointia. Kyllä, se on oikein!

Saatat silti kysyä: "Mitä tekemistä tällä on sisäkkäisten ryhmien ja ConfigMgr: n kanssa?" Palaan siihen minuutin kuluttua.

Tiesin, että kun lisäsin Morganin väliaikaisesti verkkotunnuksen järjestelmänvalvojien suojausryhmään, hänen pitäisi näyttää olevan useiden ryhmien jäsen. Ymmärrätkö nyt, miksi minun piti kaivaa syvemmälle selvittääkseni, miksi ADUC näytti Morganin vain kahden AD -suojaryhmän jäsenenä? Menikö jokin pieleen?

Sisäkkäiset AD -suojausryhmät ja ConfigMgr

Sisäkkäiset AD -suojausryhmät - verkkotunnuksen järjestelmänvalvojan ominaisuudet

Voin kyllästyttää sinut vaiheittaisen tarinan kanssa, mutta nyt ei ole oikea aika. Sen sijaan Enhansoft -tiimi ja minä saimme tietää. Jos katsot Verkkotunnuksen järjestelmänvalvojan ominaisuudet, näet, että tämä AD -suojausryhmä kuuluu 15 muuhun AD -suojausryhmään. En aio luetella niitä kaikkia täällä!

Miksi sinä välität?

ADUC -konsoli näytti Morganin vain kahden AD -suojausryhmän jäsenenä, koska se ei ota huomioon sisäkkäisiä ryhmiä, kun käyttäjäjäsenyyksiä raportoidaan. ConfigMgr puolestaan näkee, että verkkotunnuksen järjestelmänvalvojien suojaryhmä on 15 muun ryhmän jäsen, joten se ilmoittaa oikein, että jokainen verkkotunnuksen järjestelmänvalvojan suojausryhmään kuuluva käyttäjä on myös samojen 15 ryhmän jäsen.

Tiedän, että yksinkertaistan prosessia liikaa. Todennäköisemmin ConfigMgr tarkistaa turvatunnuksia, mutta tämän prosessin selittäminen tässä blogiviestissä kestää liian kauan. Jonkun on myös pyydettävä tuotetiimin jäsentä tarkistamaan koodi selittääkseen prosessin kokonaan. Lopulta raporttien kirjoittajana välitän vain lopputuloksesta enkä siitä, miten olemme välttämättä päässeet sinne. Ei ainakaan tällä kertaa!

Luettelo AD -käyttäjän suojausryhmistä

Koko huhtikuun 2020 aikana [tämä tarjous ei ole enää saatavilla] Enhansoft jakaa raportin nimeltä Luettelo AD -käyttäjän suojausryhmistä. Teemme tämän, jotta järjestelmänvalvojat voivat helpommin etsiä, mihin AD-suojausryhmiin käyttäjä kuuluu.

Jos mietit, emme vain luo raporttia ja lähetä sitä maailmalle. Ensinnäkin varmistamme, että tiettyjen tietojen saaminen ConfigMgr: stä raporttiin on todellinen ongelma (tässä tapauksessa se oli), ja sitten raportin luomisen jälkeen testataan, testataan ja testataan. Tulosten on aina oltava tarkkoja. Virheelle ei ole tilaa.

Sisäkkäiset AD -suojausryhmät - AD -käyttäjän suojausryhmien luettelo - Power BI

Sisäkkäiset AD -suojausryhmät - AD -käyttäjän suojausryhmien luettelo - SSRS

Mitä tämä merkitsee sinulle? Yksinkertaisesti sanottuna, kun hyödynnät Luettelo AD -käyttäjän suojausryhmistä raportti tai Enhansoft: n toinen Paikallinen järjestelmänvalvoja raportit, sisäkkäiset ryhmät ovat mukana, joten saat täydellisen kuvan! Tämä on suuri etu sinulle, koska sinun ei enää tarvitse tarkistaa kunkin AD -suojaryhmän jäsenyyttä. Jokainen ryhmä, jokaiselle käyttäjälle, on lueteltu juuri sinulle. Samoin, kun tarkastelet AD -suojaryhmän jäsenyyttä, näet paitsi sisäkkäiset suojausryhmät, myös kunkin sisäkkäisen ryhmän jäsenet! Kerro minulle, olisiko turvallisuustiimisi tyytyväinen tähän?

Jos sinulla on kysyttävää sisäkkäisistä AD -suojausryhmistä ja ConfigMgr: stä, ota rohkeasti yhteyttä minuun @GarthMJtai jos haluat ostaa tämän raportin, ota yhteyttä myyntitiimi Lisätietoja.

Katso, miten Right Click Tools muuttaa järjestelmien hallintatapaa.

Paranna tuottavuutta välittömästi rajoitetulla, ilmaisella Community Editionilla.

Aloita Right Click Tools: n käyttö tänään:

Jaa tämä:

Tuki

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.

Ota yhteyttä

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.
fiFinnish