Histoire des groupes de sécurité AD imbriqués et ConfigMgr

Cela arrive tout le temps, les administrateurs doivent répondre à la question « À quels groupes appartient un utilisateur ? » Normalement, vous ouvrez le Utilisateurs et ordinateurs Active Directory (ADUC), trouvez l'utilisateur en question et regardez sur la Membre de onglet, non? Que se passe-t-il, cependant, si votre organisation a imbriqué des groupes de sécurité AD ? À ce stade, qu'est-ce que cela a à voir avec Configuration Manager (ConfigMgr) ? Eh bien, la réponse à cette question est de savoir en quoi consiste cette histoire.

Groupes de sécurité AD imbriqués - AD

J'utilise GartekMorgan pour cet exemple. C'est le compte d'utilisateur que j'utilise pour les tests et c'est normalement un compte d'utilisateur à faibles droits. Cependant, pour aider à expliquer le problème, j'ai temporairement ajouté Morgan au groupe de sécurité des administrateurs de domaine. Lorsque je vérifie Active Directory (AD), je vois que Morgan n'appartient qu'à deux groupes (voir la capture d'écran ci-dessus), "Domain Admins" et "Domain Users", n'est-ce pas ? Il va falloir que je regarde ça de plus près.

Groupes de sécurité ConfigMgr et AD

Groupes de sécurité AD imbriqués - Méthodes de découverte

Chaque administrateur ConfigMgr sait qu'il existe plusieurs méthodes de découverte dans la console. Pour les besoins de cet article de blog, je parle de Découverte de groupe Active Directory, Découverte du système Active Directory et Découverte d'utilisateurs Active Directory. Ces trois méthodes de découverte (comme leurs noms l'indiquent) trouvent des ordinateurs, des utilisateurs et des appartenances à des groupes au sein d'AD. Cela signifie qu'une fois que vous avez activé ces méthodes de découverte, vous pouvez découvrir qui appartient à n'importe quel groupe de sécurité AD à l'aide de la génération de rapports ConfigMgr. Oui, c'est correcte!

Cependant, vous pourriez toujours vous demander : « Qu'est-ce que cela a à voir avec les groupes imbriqués et ConfigMgr ? » J'y reviendrai dans une minute.

Je savais que lorsque j'ai temporairement ajouté Morgan au groupe de sécurité des administrateurs de domaine, il devrait apparaître comme membre de nombreux groupes. Maintenant, pouvez-vous comprendre pourquoi j'ai dû creuser plus profondément pour découvrir pourquoi l'ADUC n'a montré Morgan que comme membre de deux groupes de sécurité AD ? Quelque chose s'est mal passé ?

Groupes de sécurité AD imbriqués et ConfigMgr

Groupes de sécurité AD imbriqués - Propriétés des administrateurs de domaine

Je peux vous ennuyer avec l'histoire étape par étape, mais ce n'est pas le moment. Au lieu de cela, c'est ce que l'équipe Enhansoft et moi avons découvert. Si vous regardez le Propriétés des administrateurs de domaine, vous voyez que ce groupe de sécurité AD appartient à 15 groupes de sécurité AD supplémentaires. Je ne vais pas tous les lister ici !

Pourquoi t'en préoccupes-tu?

La console ADUC n'affichait Morgan que comme membre de deux groupes de sécurité AD, car elle ne prend pas en compte les groupes imbriqués lors du signalement des appartenances d'utilisateurs. ConfigMgr, d'autre part, voit que le groupe de sécurité Administrateurs du domaine est membre de 15 autres groupes, il signale donc correctement que chaque utilisateur appartenant au groupe de sécurité Administrateurs du domaine est également membre de ces 15 mêmes groupes.

Je sais que je simplifie à l'excès le processus. Plus probablement, ConfigMgr examine les jetons de sécurité, mais ce processus serait trop long à expliquer dans cet article de blog. Quelqu'un devra également demander à un membre de l'équipe produit de revoir le code pour expliquer en détail le processus. En fin de compte, en tant que personne qui rédige des rapports, je ne me soucie que du résultat final et pas de la façon dont nous y sommes nécessairement arrivés. Du moins pas cette fois !

Liste des groupes de sécurité pour un utilisateur AD

Pendant tout le mois d'avril 2020 [cette offre n'est plus disponible], Enhansoft distribue un rapport intitulé Liste des groupes de sécurité pour un utilisateur AD. Nous procédons ainsi afin de permettre aux administrateurs de rechercher plus facilement à quels groupes de sécurité AD un utilisateur appartient.

Au cas où vous vous poseriez la question, nous ne créons pas simplement un rapport et l'envoyons dans le monde. Tout d'abord, nous nous assurons que l'obtention d'informations spécifiques à partir du ConfigMgr et dans un rapport est un réel problème (dans ce cas, c'était le cas), puis une fois le rapport créé, nous testons, testons et testons. Les résultats doivent toujours être exacts. Il n'y a pas de place pour l'erreur.

Groupes de sécurité AD imbriqués - Liste des groupes de sécurité pour un utilisateur AD - Power BI

Groupes de sécurité AD imbriqués - Liste des groupes de sécurité pour un utilisateur AD - SSRS

Qu'est-ce que cela signifie pour toi? En termes simples, lorsque vous tirez parti de la Liste des groupes de sécurité pour un utilisateur AD rapport ou l'un des autres Enhansoft Administrateur local rapports, les groupes imbriqués sont inclus, vous obtenez donc une image complète ! C'est un gros avantage pour vous, car vous n'avez plus besoin de vérifier l'appartenance à chaque groupe de sécurité AD. Chaque groupe, pour chaque utilisateur, est répertorié ici pour vous. De même, lorsque vous regardez l'appartenance à un groupe de sécurité AD, vous voyez non seulement les groupes de sécurité imbriqués, mais vous voyez également les membres de chaque groupe imbriqué ! Dites-moi, votre équipe de sécurité serait-elle satisfaite de cela ?

Si vous avez des questions sur les groupes de sécurité AD imbriqués et ConfigMgr, n'hésitez pas à me contacter @GarthMJ, ou si vous souhaitez acheter ce rapport, veuillez contacter notre équipe de vente pour plus d'informations.

Découvrez comment Right Click Tools change la façon dont les systèmes sont gérés.

Augmentez immédiatement votre productivité grâce à notre version Community Edition limitée et gratuite.

Commencez dès aujourd'hui avec Right Click Tools :

Partagez ceci :

Assistance

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Contact

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

En soumettant ce formulaire, vous comprenez que Recast Software peut traiter vos données comme décrit dans le Recast Software Politique de confidentialité.

fr_FRFrench