𝐂𝐨𝐦𝐨 𝐬𝐚𝐛𝐞𝐫 𝐬𝐞 𝐨𝐬 𝐮𝐬𝐮𝐚́𝐫𝐢𝐨𝐬 𝐝𝐨 𝐀𝐃 𝐞𝐬𝐭𝐚̃𝐨 𝐜𝐨𝐦 𝐩𝐞𝐫𝐦𝐢𝐬𝐬𝐨̃𝐞𝐬 𝐩𝐚𝐝𝐫𝐚̃𝐨?

𝐂𝐨𝐦𝐨 𝐬𝐚𝐛𝐞𝐫 𝐬𝐞 𝐨𝐬 𝐮𝐬𝐮𝐚́𝐫𝐢𝐨𝐬 𝐝𝐨 𝐀𝐃 𝐞𝐬𝐭𝐚̃𝐨 𝐜𝐨𝐦 𝐩𝐞𝐫𝐦𝐢𝐬𝐬𝐨̃𝐞𝐬 𝐩𝐚𝐝𝐫𝐚̃𝐨?

Você sabia que é possível verificar se os usuários do seu Active Directory estão com permissões além do que deveriam, direto pelo PowerShell?

Aqui vai um guia prático e técnico pra te ajudar a auditar isso:

Grupos aos quais o usuário pertence

 Usuários padrão geralmente pertencem apenas ao grupo Domain Users.

Use o comando: 

Get-ADUser -Identity nomeDoUsuario -Properties MemberOf | Select-Object -ExpandProperty MemberOf

 Atenção a grupos como Domain Admins, Enterprise Admins, Administrators, eles indicam permissões elevadas.

Permissões delegadas em OUs (Unidades Organizacionais)

 Quer saber se alguma permissão foi delegada diretamente em uma OU?

dsacls "OU=NomeDaOU,DC=dominio,DC=com"

Esse comando exibe a ACL (Access Control List) da OU, mostrando quem tem permissões como Write, Full Control, entre outras.

Permissões específicas no objeto do usuário

 É possível que um usuário tenha permissões especiais aplicadas diretamente nele:

dsacls "CN=NomeDoUsuario,OU=Usuarios,DC=dominio,DC=com"

O ideal é que essas permissões sejam herdadas da OU — se forem diretas, vale investigar.

Permissões locais em estações de trabalho

 Quer saber se o usuário tem poderes de administrador em máquinas da rede?

Invoke-Command -ComputerName nomePC -ScriptBlock {

 Get-LocalGroupMember -Group "Administradores"

}

Se o nome do usuário aparecer aqui, ele tem controle local na máquina.

Auditoria em massa

 Você pode auditar todos os usuários com esse script e exportar os dados para análise:

Get-ADUser -Filter * -Properties MemberOf | Select-Object Name, SamAccountName, @{Name="Grupos";Expression={$_.MemberOf -join "; "}}

 Auditorias regulares ajudam a manter a segurança e o compliance do ambiente AD.