Berättelse om kapslade AD -säkerhetsgrupper och ConfigMgr

Det händer hela tiden, administratörer måste svara på frågan "Vilka grupper tillhör en användare?" Normalt öppnar du upp Active Directory -användare och datorer (ADUC) -konsol, hitta användaren i fråga och titta på Medlem i flik, eller hur? Men vad händer om din organisation har kapslade AD -säkerhetsgrupper? Vid det här laget, vad du kanske undrar, har detta att göra med Configuration Manager (ConfigMgr)? Svaret på den frågan är vad den här historien handlar om.

Kapslade AD -säkerhetsgrupper - AD

Jag använder GartekMorgan för det här exemplet. Det här är användarkontot som jag använder för att testa och det är normalt ett användarkonto med låga rättigheter. Men för att hjälpa till att förklara problemet lade jag tillfälligt till Morgan till säkerhetsgruppen för domänadministratörer. När jag kollar Active Directory (AD) ser jag att Morgan bara tillhör två grupper (se skärmdumpen ovan), "Domänadministratörer" och "Domänanvändare", eller gör han det? Jag måste ta en närmare titt på detta.

ConfigMgr- och AD -säkerhetsgrupper

Kapslade AD -säkerhetsgrupper - metoder för upptäckt

Varje ConfigMgr -admin vet att det finns flera metoder för upptäckt inom konsolen. För detta blogginläggs talar jag om Active Directory Group Discovery, Active Directory System Discovery och vår Active Directory -användarupptäckt. Dessa tre upptäcktsmetoder (precis som deras namn antyder) hittar datorer, användare och gruppmedlemskap inom AD. Vad detta betyder är att när du aktiverar dessa upptäcktsmetoder kan du ta reda på vem som tillhör en AD -säkerhetsgrupp med hjälp av ConfigMgr -rapportering. Ja det stämmer!

Men du kanske fortfarande frågar: "Vad har detta att göra med kapslade grupper och ConfigMgr?" Jag kommer till det om en minut.

Jag visste att när jag tillfälligt lade till Morgan i säkerhetsgruppen för domänadministratörer skulle han verka vara medlem i många grupper. Nu kan du förstå varför jag behövde gräva djupare för att ta reda på varför ADUC bara visade Morgan som medlem i två AD -säkerhetsgrupper? Gick något fel?

Kapslade AD -säkerhetsgrupper och ConfigMgr

Kapslade AD -säkerhetsgrupper - Egenskaper för domänadministratörer

Jag kan tråka ut er med en steg-för-steg-historia, men nu är det inte dags. Istället är detta vad Enhansoft -teamet och jag fick reda på. Om du tittar på Domänadministratörsegenskaper, ser du att denna AD -säkerhetsgrupp tillhör ytterligare 15 AD -säkerhetsgrupper. Jag tänker inte lista dem alla här!

Varför bryr du dig?

ADUC -konsolen visade bara Morgan som medlem i två AD -säkerhetsgrupper eftersom den inte spelar in i kapslade grupper vid rapportering av användarmedlemskap. ConfigMgr, å andra sidan, ser att domänadministratörens säkerhetsgrupp är medlem i 15 andra grupper, så det rapporterar korrekt att varje användare som tillhör säkerhetsgruppen för domänadministratörer också är medlem i samma 15 grupper.

Jag vet att jag förenklar processen. Mer troligt granskar ConfigMgr säkerhetstoken, men den processen skulle ta för lång tid att förklara i detta blogginlägg. Någon skulle också behöva be en medlem i produktteamet att granska koden för att förklara processen fullständigt. Till slut, som någon som skriver rapporter, bryr jag mig bara om slutresultatet och inte hur vi nödvändigtvis kom dit. Åtminstone inte den här gången!

Lista över säkerhetsgrupper för en AD -användare

Under hela april 2020 [detta erbjudande är inte längre tillgängligt] ger Enhansoft bort en rapport som kallas Lista över säkerhetsgrupper för en AD -användare. Vi gör detta för att göra det lättare för administratörer att leta upp vilka AD-säkerhetsgrupper en användare tillhör.

Om du undrar, skapar vi inte bara en rapport och skickar ut den till världen. Först ser vi till att det är ett verkligt problem att få specifik information från ConfigMgr och in i en rapport (i det här fallet var det) och sedan efter att rapporten har skapats testar, testar och testar vi. Resultaten måste alltid vara korrekta. Det finns inget utrymme för fel.

Kapslade AD -säkerhetsgrupper - Lista över säkerhetsgrupper för en AD -användare - Power BI

Kapslade AD -säkerhetsgrupper - Lista över säkerhetsgrupper för en AD -användare - SSRS

Vad betyder detta för dig? Enkelt uttryckt, när du utnyttjar Lista över säkerhetsgrupper för en AD -användare rapport eller en av Enhansoft: s andra Lokal administratör rapporter, kapslade grupper ingår, så du får hela bilden! Detta är en stor fördel för dig, eftersom du inte längre behöver granska medlemskapet i varje AD -säkerhetsgrupp. Varje grupp, för varje användare, listas precis där för dig. På samma sätt, när du tittar på medlemskapet i en AD -säkerhetsgrupp, ser du inte bara de kapslade säkerhetsgrupperna, utan du ser också medlemmarna i varje kapslad grupp! Berätta för mig, skulle ditt säkerhetsteam vara nöjt med det?

Om du har några frågor om kapslade AD -säkerhetsgrupper och ConfigMgr är du välkommen att kontakta mig @GarthMJ, eller om du vill köpa den här rapporten, vänligen kontakta vår säljteam för mer information.

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

Dela detta:

Support

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Kontakt

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.
sv_SESwedish