AD-Standardgruppen auswerten

In Active Directory gibt es eine Reihe von Standard-Gruppen, die größtenteils über erhöhte administrative Rechte verfügen. Die Mitgliedschaft in diesen Gruppen sollte man regelmäßig überprüfen.

Eine einfache Möglichkeit dazu ergibt sich mit Joe Richards’ schönem Kommandozeilenwerkzeug AdFind. Hier kann man sich zunutze machen, dass die vordefinierten Gruppen sich im AD in zwei Containern befinden, nämlich in “Builtin” (administrative Gruppen für alle Domänencontroller) und in “Users” (administrative Gruppen der Domäne). Folgender Batch-Code gibt die betreffenden Gruppen und deren Mitglieder aus:

@echo off
echo All groups in the Builtin container with their members
echo ======================================================
echo.
adfind -default -rb CN=Builtin -f "(objectClass=group)" member
echo.
echo All groups in the Users container with their members
echo ====================================================
echo.
adfind -default -rb CN=Users -f "(objectClass=group)" member

Diesen Batch speichert man beispielsweise als „Get-DefaultGroupMembers.bat“ und ruft ihn mit Dateiumleitung auf:

Get-DefaultGroupMembers.bat > DefaultGroupMembers.txt