Encuentra grupos anidados en Active Directory

En esta guía, le mostraré cómo encontrar grupos anidados y obtener membresía en grupos anidados.

Primero, le mostraré cómo obtener membresía grupal usando PowerShell. Luego le mostraré la herramienta Informes de pertenencia a grupos, que puede buscar en todos los grupos, en un solo grupo, en todos los grupos de la unidad organizativa o en todos los usuarios de la unidad organizativa.

Método 1: utilice PowerShell para obtener la pertenencia a un grupo anidado

Método 2: utilice la herramienta Informes de pertenencia a grupos para obtener la pertenencia a grupos anidados

Índice

Videotutorial

Si no le gustan los tutoriales en video o desea obtener más información, siga leyendo la guía a continuación.

Método 1: use PowerShell para buscar grupos anidados

Hay varias formas de encontrar grupos anidados mediante PowerShell. Los siguientes ejemplos son comandos simples de PowerShell de una sola línea para obtener grupos anidados y membresías de grupos.

Ejemplo 1: Obtener miembros del grupo

Este equipo solo obtendrá miembros del equipo. En este ejemplo, estoy probando miembros de un grupo llamado "pdrive_marketing"

Get-ADGroupMember -Identity pdrive_marketing

Puede ver que trajo de vuelta a todos los miembros del grupo "pdrive_marketing". El problema es que devuelve tanto a los usuarios como a los miembros del grupo. Solo quiero miembros que sean grupos (también conocidos como... grupos anidados). En el Ejemplo 2, le mostraré cómo filtrar esto para mostrar solo grupos.

Ejemplo 2. Obtener solo pertenencia a grupos anidados

Puede agregar un filtro para que el equipo solo muestre a los miembros del grupo. El tipo de grupo está determinado por la clase de objeto, por lo que puede crear un filtro con el cmdlet where-object para especificar simplemente los miembros del grupo.

Get-ADGroupMember -Identity pdrive_marketing | where-object {$_.objectClass -eq 'group'}

Ahora muestra solo los miembros del grupo, todos los usuarios han sido filtrados.

Ejemplo 3: Obtener grupos anidados y miembros de grupos

En este paso, aprenderá cómo encontrar grupos anidados usando Powershell. ¿Qué sucede si desea saber acerca de la pertenencia a un grupo anidado?

No hay problema.

Puede pasar los resultados a otro equipo Get-ADGroupMember, que devolverá la pertenencia al grupo.

Get-ADGroupMember -Identity pdrive_marketing | ?{$_.ObjectClass -eq "Group"} | %{Write-Host $_.Name;Get-ADGroupMember $_ }

Echemos un vistazo a lo que está haciendo este equipo.

Primero obtiene membresía en el grupo "pdrive_marketing", luego filtra solo los objetos que son un grupo (grupos anidados), devuelve el grupo "Marketing_local". Finalmente, Marketing_local se canaliza al equipo Get-ADGroupMember, que muestra la pertenencia al grupo.

PDrive_Marketing = Grupo principal
Marketing_local = Subgrupo (subgrupo)
Los usuarios que se muestran son miembros del grupo Marketing_local.

Ejemplo 4: Buscar todos los grupos anidados en el dominio

Todos los primeros 3 ejemplos mostraron grupos anidados para un grupo. Pero probablemente desee obtener una membresía anidada en más de un grupo. Utilice este comando para buscar todos los grupos que tienen grupos anidados.

Get-ADGroup -filter * -Properties MemberOf | Where-Object {$_.MemberOf -ne $null} | Select-Object Name,MemberOf

Puede ver que esto mostrará todos los grupos anidados en el dominio. Por ejemplo, el grupo IT_Local es miembro del grupo PDrive_temp. También puede ver que el grupo Accounting_Local es miembro del grupo PDrive_temp.

Los comandos de PowerShell anteriores son comandos simples de una sola línea para encontrar grupos anidados. Hay muchos escenarios en Internet para encontrar grupos anidados, algunos de los cuales pueden ser bastante complejos.

Para facilitar la búsqueda de grupos anidados, he creado una herramienta de informe de pertenencia a grupos. Vea el ejemplo a continuación.

Método 2: Herramienta para informes de pertenencia a grupos

La herramienta Informe de pertenencia a grupos es una herramienta GUI fácil de usar que creé para facilitar la búsqueda de grupos anidados y pertenencias a grupos. Esta herramienta puede mostrar el grupo principal, el subgrupo y los miembros del subgrupo. También muestra múltiples atributos de usuario, como correo electrónico, departamento, dirección, teléfono, ciudad, estado y más.

Ejemplo 1: Obtener grupos anidados para un grupo

Haga clic en un grupo individual y luego presione el botón Seleccionar

Verá una ventana emergente para buscar un grupo que pueda denunciar. Ingrese un nombre, haga clic en buscar, haga clic en grupo y luego haga clic en seleccionar.

En este ejemplo, obtendré una membresía anidada en el grupo PDrive_Temp.

Regrese a la pantalla principal, haga clic en "Ejecutar". La herramienta Informes de grupo obtendrá todos los miembros del grupo que seleccionó.

Puede ver sobre todos los miembros del grupo Pdrive_temp. La columna ObjectClass hace que sea muy fácil encontrar grupos que sean miembros de un grupo... también grupos anidados. Puede hacer clic en cualquiera de las columnas para ordenar los resultados.

Para mostrar los miembros del subgrupo, simplemente seleccione la opción "Grupo de recursos" y haga clic en "Ejecutar".

Al seleccionar la opción de recurrencia, puede ver los miembros del subgrupo. En la captura de pantalla anterior, Account_Local es un subgrupo y PDrive_temp es un grupo principal. Luego muestra la membresía de cada grupo anidado.

Para cada participante, muestra los siguientes atributos de Active Directory:

Nombre de usuario, nombre, clase de objeto, grupo, tipo de grupo, alcance, descripción, nombre, apellido, oficina, teléfono, dirección, buzón, ciudad, estado, dirección postal, correo electrónico, nombre, departamento, empresa, gerente, direcciones de proxy, inicio, pantalla y página de inicio.

Aquí hay algunas capturas de pantalla que muestran algunos de los atributos que se incluyen en el informe.

Ejemplo 2: obtener todos los grupos anidados de una unidad organizativa

Ahora obtengamos la membresía grupal de todos los grupos en OU.

Seleccione el botón de radio "Todos los grupos en OU" y luego presione el botón de selección.

Verá su árbol de Active Directory, simplemente seleccione la unidad que desea informar y haga clic en Aceptar. Elijo mi OU "Grupos ADPRO" que tiene alrededor de 30 grupos de seguridad.

Cuando regrese a la pantalla principal, haga clic en Ejecutar. Ahora la herramienta pasará por todos los grupos de la unidad organizativa y mostrará sus miembros. Dependiendo de cuántos grupos tenga y cuántos miembros en cada grupo, esto puede llevar algún tiempo.

Una vez completado, puede ordenar las columnas para agrupar diferentes tipos de objetos. Me gusta ordenar por ObjectClass para poder ver todos los subgrupos y grupos principales.

Puede exportar todos los resultados a CSV haciendo clic en el botón Exportar.

Ejemplo 3: verificar la membresía del grupo para un usuario

Para encontrar una membresía de grupo para un solo usuario, simplemente seleccione "Usuario único", ingrese su nombre de usuario y haga clic en "Ejecutar".

Ejemplo 4: Obtenga todas las membresías del grupo

Para obtener todas las membresías en un grupo, simplemente seleccione "Todos los grupos" y haga clic en "Ejecutar".

Acerca del kit de herramientas de Active Directory Pro.

La herramienta de informes de pertenencia a grupos es una de las diez herramientas incluidas en Active Directory Pro Toolkit. Este conjunto de herramientas simplifica y automatiza muchas tareas rutinarias de AD. Herramientas incluidas:

  • Informe del último inicio de sesión en AD
  • Una herramienta para la creación masiva de usuarios
  • Herramienta de limpieza de anuncios
  • Exportar usuarios de AD
  • Actualización masiva de usuarios
  • Manejo de grupo
  • Informe de tiempo de actividad del ordenador/servidor
  • Reportero permite NTFS
  • Solucionador de problemas de desbloqueo de usuario y bloqueo de cuenta

Si tiene preguntas, hágalas a continuación en la sección de comentarios.

Artículos de interés

Subir