Em um ambiente administrado por diversos Administradores, devemos criar rotinas de verificação para certificarmos e auditarmos algumas variáveis. Uma conta de usuário que pertence a um número elevado de grupos pode certamente representar um perigo ao ambiente. Cabe ao Administrador entender qual o perfil desta conta de usuário e também enumerar os grupos evolvidos nesta configuração. Consideramos uma boa prática verificar tais grupos e contas de usuário com o objetivo de controlar esta variável que compõe o ambiente.
Solução
Para iniciarmos nosso processo de investigação, vamos iniciar enumerando as contas de usuário que pertencem à no mínimo 5 grupos distintos, vamos executar o seguinte comando no Prompt PowerShell,
Neste ambiente de teste temos o seguinte resultado,
Temos (em vermelho) 02 contas de usuário que pertencem a no mínimo 05 grupos. Os grupos estão destacados em verde representando uma lista distinta para cada conta de usuário.
A depender das configurações de seu ambiente o número de contas de usuário pode variar bastante assim como o número de grupos as quais elas pertencem.
Cabe também variar o número mínimo de grupos que em nosso caso foi de 5, mas você pode ajustar tranquilamente de acordo com sua necessidade.
Conclusão
Podemos utilizar uma simples combinação de comandos Powershell para detectar contas de usuários que pertencem a um elevado número de Grupos podendo representar situações indesejadas para a maioria dos Administradores de Active Directory.
