En el panorama en rápida evolución de las TI, la gestión eficaz de los usuarios y la comprensión de sus funciones siguen siendo fundamentales para la seguridad y la eficacia de cualquier organización. Entre las herramientas a disposición de los profesionales de TI, los scripts PowerShell destacan como potentes soluciones para automatizar tareas. Uno de estos scripts se centra en listar todos los grupos a los que pertenece un usuario.
Antecedentes
Los grupos a los que pertenece un usuario define los derechos y permisos que tiene un usuario dentro de una red. A medida que una organización crece, hacer un seguimiento de los grupos a los que pertenece un usuario es cada vez más importante. Sin embargo, puede ser engorroso y propenso a errores si se hace manualmente. Aquí es donde entra en juego nuestro script. Específicamente diseñado para listar todos los grupos a los que pertenece un usuario, este script tiene un valor incalculable para los profesionales de TI y los proveedores de servicios gestionados (MSP). Garantizar la correcta pertenencia a un grupo ayuda a evitar la sobreasignación de privilegios y refuerza la postura de seguridad de una organización.
El script para listar los grupos a los que pertenece un usuario
#Requires -Version 4.0 -RunAsAdministrator
<#
.SYNOPSIS
This will output the groups that the specified user belongs to.
.DESCRIPTION
This will output the groups that the specified user belongs to.
.EXAMPLE
-UserName "Administrator" -IsDomainUser
Will get the groups that the user Administrator belongs to in Active Directory.
.EXAMPLE
-UserName "Administrator"
Will get the groups that the user Administrator belongs to on the machine it runs on.
.EXAMPLE
PS C:> Get-User-Membership.ps1 -UserName "Administrator"
Will get the groups that the user Administrator belongs to on the machine it runs on.
.OUTPUTS
Output (PSCustomObject)
.NOTES
Minimum OS Architecture Supported: Windows 10, Windows Server 2012
If you wish to interact with AD you will need to install RSAT with at least the AD feature.
Release Notes:
Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
ManageUsers
#>
[CmdletBinding()]
param (
# Specify one user
[Parameter(Mandatory = $false)]
[String]
$UserName,
# Modify Local User Membership
[Parameter(Mandatory = $false)]
[Switch]
$IsDomainUser
)
begin {}
process {
if (-not $IsDomainUser) {
# Get local machine groups
Get-LocalGroup | ForEach-Object {
$Group = $_.Name
# Get users in current group
# Check that $UserName is a member of this current group and output it to StdOut/Write-Output
Get-LocalGroupMember -Group $Group | Where-Object { $_.Name -like "*$UserName" } | ForEach-Object {
[PSCustomObject]@{
Group = $Group
User = $_.Name
}
}
}
}
else {
if ((Get-Module -Name ActiveDirectory -ListAvailable -ErrorAction SilentlyContinue)) {
try {
Import-Module -Name ActiveDirectory
# Get most of our data needed for the logic, and to reduce the number of time we need to talk to AD
$ADUser = (Get-ADUser -Identity $UserName -Properties SamAccountName -ErrorAction SilentlyContinue).SamAccountName
}
catch {
Write-Error -Message "Ninja Agent could not access AD, either RSAT was not installed or that the agent does not have permissions to view users and groups."
exit 5 # Access Denied exit code
}
# Get a list of groups that the user is in
# Loop through each group
Get-ADGroup -Filter * -ErrorAction SilentlyContinue | ForEach-Object {
$ADGroup = $_
# Get users from current group and filter out all other users
Get-ADGroupMember -Identity $ADGroup -ErrorAction SilentlyContinue | Where-Object {
$_.SamAccountName -like $ADUser
} | ForEach-Object {
# Write out to StandardOutput
[PSCustomObject]@{
Group = $ADGroup.Name
User = $_.SamAccountName
}
}
}
}
else {
# Throw error that RSAT: ActiveDirectory isn't installed
Write-Error -Message "RSAT: ActiveDirectory is not installed or not found on this computer. The PowerShell Module called ActiveDirectory is needed to proceed." -RecommendedAction "https://docs.microsoft.com/en-us/powershell/module/activedirectory/"
exit 2 # File Not Found exit code
}
}
}
end {}
Accede a más de 300 scripts en el Dojo de NinjaOne
Descripción detallada
El script para listar los grupos a los que pertenece un usuario puede dividirse en dos componentes principales según su función:
- Comprobación de pertenencia a grupo local: si no se especifica el modificador -IsDomainUser, el script busca y enumera los grupos a los que pertenece un usuario especificado en el equipo local.
- Comprobación de pertenencia a grupos de Active Directory: si se establece el parámetro -IsDomainUser, el script se comunica con Active Directory para recuperar y listar los grupos a los que pertenece un usuario especificado.
A lo largo de todo el proceso, el script para listar los grupos a los que pertenece un usuario emite los resultados como un PSCustomObject, lo que garantiza que los datos estén estructurados y puedan entenderse o procesarse con facilidad.
Posible caso de uso
Imagínate a un profesional de TI de una gran empresa que necesita verificar la pertenencia a un grupo de un nuevo jefe de departamento. Utilizando el script, el profesional de TI puede listar fácilmente todos los grupos a los que pertenece un usuario tanto en entornos locales como de Active Directory. De este modo se garantiza que el jefe de departamento disponga de los permisos correctos, evitando posibles fallos de seguridad o errores de acceso.
Enfoque alternativo
Aunque la interfaz gráfica de usuarios y equipos de Active Directory (ADUC) permite ver los grupos a los que pertenece un usuario es manual y no resulta adecuada para comprobaciones masivas. Nuestro script PowerShell para listar los grupos a los que pertenece un usuario automatiza esta tarea, haciéndola eficaz para comprobar múltiples usuarios o auditorías frecuentes. Además, con PowerShell, los resultados se pueden exportar, filtrar o integrar fácilmente en informes, lo que ofrece una flexibilidad de la que carecen las herramientas GUI.
Preguntas frecuentes
- P: ¿Se puede ejecutar el script sin privilegios de administrador?
R: El script para listar los grupos a los que pertenece un usuario requiere derechos administrativos, lo que garantiza resultados precisos al acceder a los recursos necesarios del sistema. - P: ¿Qué ocurre si el módulo Active Directory no se encuentra en el sistema?
R: El script lanzará un error, avisando de la instalación de RSAT con la característica Active Directory.
Implicaciones
Una pertenencia incorrecta a un grupo puede dar lugar a un acceso no autorizado a los datos o a la denegación de recursos esenciales a los usuarios. Gracias a la precisión con la que nuestro script PowerShell lista los grupos a los que pertenece un usuario, los profesionales de TI pueden mejorar la seguridad y garantizar el cumplimiento de la normativa.
Recomendaciones
- Ejecuta primero el script en un entorno seguro y controlado.
- Examina periódicamente los grupos a los que pertenece un usuario, especialmente en el caso de funciones con privilegios elevados.
- Integra los resultados del script en una estrategia IAM (gestión de identidades y accesos) más amplia.
Reflexiones finales
NinjaOne, con su completa suite de soluciones de TI, puede ser un socio inestimable en la automatización, gestión y seguridad de los entornos de TI. Cuando se combinan scripts como el que hemos visto con las capacidades de NinjaOne, los profesionales de TI pueden mejorar su eficiencia, precisión y postura de seguridad. Esta sinergia allana el camino para un enfoque proactivo de la gestión y la seguridad informáticas.
