Nas florestas comuns do AD, os grupos controlam a autorização para dados confidenciais. Os grupos podem distribuir conteúdo ou ajudar a dar acesso a arquivos, serviços ou até mesmo à delegação do AD. Após a instalação, você terá vários grupos incorporados, como o grupo Domain Admins ou Account Operators.
O Active Directory Users and Computers (ADUC) e o Active Directory Administrative Center (ADAC) são programas que fornecem uma interface gráfica para interagir com grupos e ajudar a gerenciá-los. O ADAC difere do ADUC pelo fato de ter o Histórico do PowerShell, que permite ver os cmdlets do PowerShell por trás da GUI.
Para gerenciar grupos, é necessário fazer login em um DC, em um servidor com união de domínio ou em um dispositivo com o Remote Server Administration Tools (RSAT) instalado.
Quanto ao nível de acesso, você precisa ter uma conta de administrador de domínio, a conta Account Operators ou ter direitos para criar grupos em determinadas UOs por meio de delegação.
Gerenciando a expiração das associações de grupos
As associações de grupos podem ser configuradas para expirar. Para usar a opção de expiração de associação de grupo, o FFL do Active Directory precisa ser, no mínimo, o Windows Server 2012 R2. O recurso Privileged Access Management precisa estar ativado. Isso pode ser feito usando as seguintes linhas do PowerShell em um sistema com o Módulo do Active Directory para Windows PowerShell instalado:
Digite "y" para confirmar essa ação. Observe que esse recurso é irreversível e não pode ser desativado.
Definir associações de grupos que estão expirando por meio do Windows PowerShell.
Normalmente, para adicionar um objeto de usuário a um grupo, você usaria as seguintes linhas do PowerShell:
No entanto, para adicionar um usuário com uma associação de grupo expirada a um grupo, é necessário usar as seguintes linhas do PowerShell em um sistema com o Módulo do Active Directory para Windows PowerShell instalado:
Para exibir o tempo de vida das associações de grupo, use as seguintes linhas de código do PowerShell:
Procure a opção TTL, que é exibida em segundos.
Visualização de associações a grupos aninhados
Esta instrução mostrará a você como enumerar todos os membros de um grupo, até mesmo os membros de grupos aninhados.
Usando o ADUC
Como administrador, você pode clicar em grupos na guia Membros e inserir as propriedades de grupos aninhados para ver seus membros. No entanto, quando os grupos estão muito aninhados, fica muito difícil executar essa ação.
Exibir todos os membros do grupo, incluindo grupos aninhados, via PowerShell.
Use as seguintes linhas de código do PowerShell para enumerar todas as associações de grupo em um grupo:
Encontrando grupos vazios
Este guia o ajudará a encontrar grupos sem membros. Todo objeto no Active Directory ocupa recursos. Quando um grupo não é usado, você pode considerá-lo excluído para abrir espaço para outros objetos mais importantes.
Encontrar grupos vazios com o PowerShell
Use as seguintes linhas do PowerShell para localizar todos os grupos sem membros no Active Directory: