Cómo listar los grupos a los que pertenece un usuario con PowerShell

En el panorama en rápida evolución de las TI, la gestión eficaz de los usuarios y la comprensión de sus funciones siguen siendo fundamentales para la seguridad y la eficacia de cualquier organización. Entre las herramientas a disposición de los profesionales de TI, los scripts PowerShell destacan como potentes soluciones para automatizar tareas. Uno de estos scripts se centra en listar todos los grupos a los que pertenece un usuario.

Antecedentes

Los grupos a los que pertenece un usuario define los derechos y permisos que tiene un usuario dentro de una red. A medida que una organización crece, hacer un seguimiento de los grupos a los que pertenece un usuario es cada vez más importante. Sin embargo, puede ser engorroso y propenso a errores si se hace manualmente. Aquí es donde entra en juego nuestro script. Específicamente diseñado para listar todos los grupos a los que pertenece un usuario, este script tiene un valor incalculable para los profesionales de TI y los proveedores de servicios gestionados (MSP). Garantizar la correcta pertenencia a un grupo ayuda a evitar la sobreasignación de privilegios y refuerza la postura de seguridad de una organización.

El script para listar los grupos a los que pertenece un usuario

#Requires -Version 4.0 -RunAsAdministrator

<#
.SYNOPSIS
    This will output the groups that the specified user belongs to.
.DESCRIPTION
    This will output the groups that the specified user belongs to.
.EXAMPLE
     -UserName "Administrator" -IsDomainUser
    Will get the groups that the user Administrator belongs to in Active Directory.
.EXAMPLE
     -UserName "Administrator"
    Will get the groups that the user Administrator belongs to on the machine it runs on.
.EXAMPLE
    PS C:> Get-User-Membership.ps1 -UserName "Administrator"
    Will get the groups that the user Administrator belongs to on the machine it runs on.
.OUTPUTS
    Output (PSCustomObject)
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2012
    If you wish to interact with AD you will need to install RSAT with at least the AD feature.
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ManageUsers
#>

[CmdletBinding()]
param (
    # Specify one user
    [Parameter(Mandatory = $false)]
    [String]
    $UserName,
    # Modify Local User Membership
    [Parameter(Mandatory = $false)]
    [Switch]
    $IsDomainUser
)

begin {}

process {
    if (-not $IsDomainUser) {
        # Get local machine groups
        Get-LocalGroup | ForEach-Object {
            $Group = $_.Name
            # Get users in current group
            # Check that $UserName is a member of this current group and output it to StdOut/Write-Output
            Get-LocalGroupMember -Group $Group | Where-Object { $_.Name -like "*$UserName" } | ForEach-Object {
                [PSCustomObject]@{
                    Group = $Group
                    User  = $_.Name
                }
            }
        }
    }
    else {
        if ((Get-Module -Name ActiveDirectory -ListAvailable -ErrorAction SilentlyContinue)) {
            try {
                Import-Module -Name ActiveDirectory
                # Get most of our data needed for the logic, and to reduce the number of time we need to talk to AD
                $ADUser = (Get-ADUser -Identity $UserName -Properties SamAccountName -ErrorAction SilentlyContinue).SamAccountName
            }
            catch {
                Write-Error -Message "Ninja Agent could not access AD, either RSAT was not installed or that the agent does not have permissions to view users and groups."
                exit 5 # Access Denied exit code
            }
            # Get a list of groups that the user is in
            # Loop through each group
            Get-ADGroup -Filter * -ErrorAction SilentlyContinue | ForEach-Object {
                $ADGroup = $_
                # Get users from current group and filter out all other users
                Get-ADGroupMember -Identity $ADGroup -ErrorAction SilentlyContinue | Where-Object {
                    $_.SamAccountName -like $ADUser
                } | ForEach-Object {
                    # Write out to StandardOutput
                    [PSCustomObject]@{
                        Group = $ADGroup.Name
                        User  = $_.SamAccountName
                    }
                }
            }
        }
        else {
            # Throw error that RSAT: ActiveDirectory isn't installed
            Write-Error -Message "RSAT: ActiveDirectory is not installed or not found on this computer. The PowerShell Module called ActiveDirectory is needed to proceed." -RecommendedAction "https://docs.microsoft.com/en-us/powershell/module/activedirectory/"
            exit 2 # File Not Found exit code
        }
    }
}
end {}

 

Accede a más de 300 scripts en el Dojo de NinjaOne

Obtén acceso

Descripción detallada

El script para listar los grupos a los que pertenece un usuario puede dividirse en dos componentes principales según su función:

  • Comprobación de pertenencia a grupo local: si no se especifica el modificador -IsDomainUser, el script busca y enumera los grupos a los que pertenece un usuario especificado en el equipo local.
  • Comprobación de pertenencia a grupos de Active Directory: si se establece el parámetro -IsDomainUser, el script se comunica con Active Directory para recuperar y listar los grupos a los que pertenece un usuario especificado.

A lo largo de todo el proceso, el script para listar los grupos a los que pertenece un usuario emite los resultados como un PSCustomObject, lo que garantiza que los datos estén estructurados y puedan entenderse o procesarse con facilidad.

Posible caso de uso

Imagínate a un profesional de TI de una gran empresa que necesita verificar la pertenencia a un grupo de un nuevo jefe de departamento. Utilizando el script, el profesional de TI puede listar fácilmente todos los grupos a los que pertenece un usuario tanto en entornos locales como de Active Directory. De este modo se garantiza que el jefe de departamento disponga de los permisos correctos, evitando posibles fallos de seguridad o errores de acceso.

Enfoque alternativo

Aunque la interfaz gráfica de usuarios y equipos de Active Directory (ADUC) permite ver los grupos a los que pertenece un usuario es manual y no resulta adecuada para comprobaciones masivas. Nuestro script PowerShell para listar los grupos a los que pertenece un usuario automatiza esta tarea, haciéndola eficaz para comprobar múltiples usuarios o auditorías frecuentes. Además, con PowerShell, los resultados se pueden exportar, filtrar o integrar fácilmente en informes, lo que ofrece una flexibilidad de la que carecen las herramientas GUI.

Preguntas frecuentes

  • P: ¿Se puede ejecutar el script sin privilegios de administrador?
    R: El script para listar los grupos a los que pertenece un usuario requiere derechos administrativos, lo que garantiza resultados precisos al acceder a los recursos necesarios del sistema.
  • P: ¿Qué ocurre si el módulo Active Directory no se encuentra en el sistema?
    R: El script lanzará un error, avisando de la instalación de RSAT con la característica Active Directory.

Implicaciones

Una pertenencia incorrecta a un grupo puede dar lugar a un acceso no autorizado a los datos o a la denegación de recursos esenciales a los usuarios. Gracias a la precisión con la que nuestro script PowerShell lista los grupos a los que pertenece un usuario, los profesionales de TI pueden mejorar la seguridad y garantizar el cumplimiento de la normativa.

Recomendaciones

  • Ejecuta primero el script en un entorno seguro y controlado.
  • Examina periódicamente los grupos a los que pertenece un usuario, especialmente en el caso de funciones con privilegios elevados.
  • Integra los resultados del script en una estrategia IAM (gestión de identidades y accesos) más amplia.

Reflexiones finales

NinjaOne, con su completa suite de soluciones de TI, puede ser un socio inestimable en la automatización, gestión y seguridad de los entornos de TI. Cuando se combinan scripts como el que hemos visto con las capacidades de NinjaOne, los profesionales de TI pueden mejorar su eficiencia, precisión y postura de seguridad. Esta sinergia allana el camino para un enfoque proactivo de la gestión y la seguridad informáticas.

Categorías:

Quizá también te interese…

×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón “Acepto” que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona “tal cual” y “según disponibilidad”, sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).