31.01.2025

Como gerenciar grupos no AD. Parte 3: Gerenciamento de grupos expirados e visualização de grupos aninhados

Nas florestas comuns do AD, os grupos controlam a autorização para dados confidenciais. Os grupos podem distribuir conteúdo ou ajudar a dar acesso a arquivos, serviços ou até mesmo à delegação do AD. Após a instalação, você terá vários grupos incorporados, como o grupo Domain Admins ou Account Operators.

O Active Directory Users and Computers (ADUC) e o Active Directory Administrative Center (ADAC) são programas que fornecem uma interface gráfica para interagir com grupos e ajudar a gerenciá-los. O ADAC difere do ADUC pelo fato de ter o Histórico do PowerShell, que permite ver os cmdlets do PowerShell por trás da GUI.

Para gerenciar grupos, é necessário fazer login em um DC, em um servidor com união de domínio ou em um dispositivo com o Remote Server Administration Tools (RSAT) instalado.
Quanto ao nível de acesso, você precisa ter uma conta de administrador de domínio, a conta Account Operators ou ter direitos para criar grupos em determinadas UOs por meio de delegação.

Gerenciando a expiração das associações de grupos

As associações de grupos podem ser configuradas para expirar. Para usar a opção de expiração de associação de grupo, o FFL do Active Directory precisa ser, no mínimo, o Windows Server 2012 R2. O recurso Privileged Access Management precisa estar ativado. Isso pode ser feito usando as seguintes linhas do PowerShell em um sistema com o Módulo do Active Directory para Windows PowerShell instalado:

Import-Module ActiveDirectory
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target office.local

Digite "y" para confirmar essa ação. Observe que esse recurso é irreversível e não pode ser desativado.
Definir associações de grupos que estão expirando por meio do Windows PowerShell.
Normalmente, para adicionar um objeto de usuário a um grupo, você usaria as seguintes linhas do PowerShell:

Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"

No entanto, para adicionar um usuário com uma associação de grupo expirada a um grupo, é necessário usar as seguintes linhas do PowerShell em um sistema com o Módulo do Active Directory para Windows PowerShell instalado:

Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul" -MemberTimeToLive (New-TimeSpan -Days 14)

Para exibir o tempo de vida das associações de grupo, use as seguintes linhas de código do PowerShell:

Import-Module ActiveDirectory
Get-ADGroup "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Property member -ShowMemberTimeToLive

Procure a opção TTL, que é exibida em segundos.

Visualização de associações a grupos aninhados

Esta instrução mostrará a você como enumerar todos os membros de um grupo, até mesmo os membros de grupos aninhados.
Usando o ADUC
Como administrador, você pode clicar em grupos na guia Membros e inserir as propriedades de grupos aninhados para ver seus membros. No entanto, quando os grupos estão muito aninhados, fica muito difícil executar essa ação.
Exibir todos os membros do grupo, incluindo grupos aninhados, via PowerShell.
Use as seguintes linhas de código do PowerShell para enumerar todas as associações de grupo em um grupo:

Import-Module ActiveDirectory
Get-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Recursive | Out-GridView

Encontrando grupos vazios

Este guia o ajudará a encontrar grupos sem membros. Todo objeto no Active Directory ocupa recursos. Quando um grupo não é usado, você pode considerá-lo excluído para abrir espaço para outros objetos mais importantes.

Encontrar grupos vazios com o PowerShell

Use as seguintes linhas do PowerShell para localizar todos os grupos sem membros no Active Directory:

Import-Module ActiveDirectory
Get-ADGroup -Filter * -Properties members | Where-Object {$_.Members.count -eq 0} | Out-GridView