Dans les forêts AD moyennes, les groupes régissent l'autorisation des données sensibles. Les groupes peuvent distribuer du contenu ou aider à donner accès à des fichiers, des services ou même une délégation AD. Après l'installation, vous gagnerez plusieurs groupes intégrés tels que le groupe Admins du domaine ou les Opérateurs de compte.
Les utilisateurs et ordinateurs Active Directory (ADUC) et le centre d'administration Active Directory (ADAC) sont programs qui fournissent une interface utilisateur graphique pour interagir avec les groupes et aider à les gérer. ADAC diffère d'ADUC en ce sens qu'il possède un historique PowerShell, ce qui permet de voir les applets de commande PowerShell derrière l'interface graphique.
Pour gérer les groupes, vous devez vous connecter à un contrôleur de domaine, à un serveur joint à un domaine ou à un appareil sur lequel les outils d'administration de serveur distant (RSAT) sont installés.
En parlant de niveau d'accès, vous devez avoir un compte d'administrateur de domaine, le compte d'opérateurs de compte, ou avoir le droit de créer des groupes dans certaines unités d'organisation via la délégation.
Gestion des adhésions de groupe expirantes
Les adhésions aux groupes peuvent être configurées pour expirer. Pour utiliser l'option d'expiration de l'adhésion au groupe, le FFL Active Directory doit être au moins Windows Server 2012 R2. La fonctionnalité de gestion des accès privilégiés doit être activée. Ceci peut être réalisé en utilisant les lignes suivantes de PowerShell sur un système avec le module Active Directory pour Windows PowerShell installé :
Import-Module ActiveDirectoryEnable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target office.localTapez "y" pour confirmer cette action. Notez qu'il s'agit d'une fonctionnalité irréversible et qu'elle ne peut pas être désactivée.
Définissez les adhésions de groupe expirantes via Windows PowerShell.
Normalement, pour ajouter un objet utilisateur à un groupe, vous utiliseriez les lignes suivantes de PowerShell :
Import-Module ActiveDirectoryAdd-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"Cependant, pour ajouter un utilisateur dont l'appartenance à un groupe expire, vous devez utiliser les lignes suivantes de PowerShell sur un système avec le module Active Directory pour Windows PowerShell installé :
Import-Module ActiveDirectoryAdd-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul" -MemberTimeToLive (New-TimeSpan -Days 14)Pour afficher la durée de vie des appartenances aux groupes, utilisez les lignes de code PowerShell suivantes :
Import-Module ActiveDirectoryGet-ADGroup "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Property member -ShowMemberTimeToLive
Recherchez l'option TTL, elle s'affiche en quelques secondes.
Affichage des appartenances aux groupes imbriqués
Cette instruction vous montrera comment énumérer tous les membres d'un groupe, même les membres des groupes imbriqués.
Utilisation de l'ADUC
En tant qu'administrateur, vous pouvez click groupes sur l'onglet Membres et entrez les propriétés des groupes imbriqués pour consulter ses membres. Cependant, lorsque les groupes sont fortement imbriqués, il devient très difficile d'effectuer une telle action.
Afficher tous les membres du groupe, y compris les groupes imbriqués via PowerShell.
Utilisez les lignes de code PowerShell suivantes pour énumérer toutes les appartenances à un groupe :
Import-Module ActiveDirectoryGet-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Recursive | Out-GridViewRecherche de groupes vides
Ce guide vous aidera à trouver des groupes sans membres de groupe. Chaque objet dans Active Directory utilise des ressources. Lorsqu'un groupe n'est pas utilisé, vous pouvez envisager de le supprimer pour faire place à d'autres objets plus importants.
Recherche de groupes vides avec PowerShell
Utilisez les lignes suivantes de PowerShell pour rechercher tous les groupes sans appartenance dans Active Directory :
Import-Module ActiveDirectoryGet-ADGroup -Filter * -Properties members | Where-Object {$_.Members.count -eq 0} | Out-GridView
