Windows Server et Active Directory
Comptes, groupes et GPO
Cartographie du domaine, comptes, groupes, délégations, Kerberos, GPO et chemins de privilège.
Comptes privilégiés
Get-ADGroupMember 'Domain Admins' -Recursive
Get-ADGroupMember 'Enterprise Admins' -Recursive
Get-ADUser -Filter 'AdminCount -eq 1' -Properties AdminCount,Enabled,LastLogonDate
Comptes dormants
$cutoff=(Get-Date).AddDays(-90)
Get-ADUser -Filter * -Properties LastLogonDate,PasswordLastSet,Enabled |
Where-Object Enabled -eq $true |
Where-Object { -not $_.LastLogonDate -or $_.LastLogonDate -lt $cutoff }
GPO
Get-GPO -All | Select DisplayName,Id,GpoStatus,ModificationTime
Get-GPInheritance -Target 'OU=Workstations,DC=example,DC=local'
Analyse
Cherche les groupes imbriqués, délégations excessives, comptes de service interactifs, mots de passe non expirants, GPO non liées et permissions de modification sur les objets critiques.
Preuve
Documente le chemin d’autorisation, mais ne modifie pas un groupe privilégié réel. Utilise un groupe et un compte de laboratoire pour démontrer la logique.