web-dev-qa-db-ja.com

ADのグループ/ユーザーのアクセスを削除する前に確認するにはどうすればよいですか?

十分に文書化されていない継承されたドメインをクリーンアップしています。特定のグループまたはユーザーがAD全体にACEを持っていないことを確認するにはどうすればよいですか。

DACL/SACLでADオブジェクトやファイルサーバーオブジェクトを検索するようなものです。管理者はそのようなデューデリジェンスさえ行いますか?

[編集]コメントはまだ追加できませんが、ベンとジムの回答に感謝します。そんな思いやりのある答えを出すには長い時間がかかるので、彼らの寛大さと経験を共有する意欲を尊重します。

ADベースの権限を確認する場所のリストをありがとうございます-非常に役立ちます。

アクセスが誤って削除された場合に再入力するために空のグループを保持するという提案に感謝します。グループメンバーシップを列挙するためのC#コードをすでに作成しているので、そのバックアップがあります。 (PowerShellよりも操作が簡単だと思います。)ShareEnumなどのsysinternalsツールも使用しています。

メモ/説明フィールド-それらは何ですか?真剣に、私はそれらが何であるかを知っていますが、私の前任者はそれらを使用しませんでした。また、ネストされたグループも使用しませんでした。

3
zen

これは難しいです。とても厳しい。ファイルシステムを反復処理してアクセス許可を評価するスクリプトを作成するようなこともできますが、それはやや面倒です。各サーバーで実行する必要があり、サーバー上にあるファイルの数によっては時間がかかる場合があります。

グループのメンバーを見てください。彼らは主に1つの部門の人々のグループですか?それはあなたを正しい方向に向けるかもしれません、そしてあなたが不可解なグループ名を持っているなら(例えばHSGD Super Usersここで、HSGDは部門のLOBアプリです)それが彼らにとって何か意味があるかどうかを尋ねることができます。

グループのNotesフィールドをチェックして、役立つものが含まれているかどうかを確認します(ヒント:このフィールドは非常に便利です。今後使用することをお勧めします)。

これを徹底的にチェックするには、ファイルシステムのアクセス許可以外のこともチェックする必要があります。 Windowsのアクセス許可を使用できるものをチェックする必要がありますが、残念ながら、何かを忘れることを保証できます(誰もが常にハードウェアアプライアンスを忘れます)。しかし、頭のてっぺんから:

  • ファイルシステムのアクセス許可
  • SQLサーバー
  • Microsoft Exchange
  • ウイルス対策ソフトウェア(該当する場合は主にサーバー管理コンソール)
  • スケジュールされたタスク
  • Windowsサービス
  • ActiveDirectoryの委任されたアクセス許可
  • 特定のADユーザー/グループに対して個々のワークステーションに付与されるアクセス許可
  • バックアップソフトウェアのログオンアカウント
  • ハードウェアアプライアンス(ADアカウントを使用して認証)
  • Linuxマシン/サービス(同様に、それらで実行されているサービスはLDAPを使用し、専用アカウントで認証する場合があります)
  • 使用するすべてのLOBアプリ

また、非常に重要なこと、つまりネストされたグループからのユーザーの間接的なグループメンバーシップを忘れてはなりませんを呼び出す必要があります。私を信じてください、それは本当のキッカーです-私は前にそれをしました。

最後に、あなたの質問へのコメントでこれを言ったとき、私はやや気まぐれでした。削除したいグループがある場合は、グループメンバーをメモして、グループからすべて削除します。グループをすぐに削除しないことが重要です。このグループにすべての場所で権限が付与されていて、深刻な破損が発生した場合は、全員を再度追加してすぐに修正する必要があるためです。グループを削除する場合は、最初に把握する必要があります。権限が付与されている場所(わからない)を確認し、以前とまったく同じ権限を適用します。これは、デフォルトの権限ではない可能性があります(これもわかりません)。

6
Ben Pilbrow

ベンは非常に間違っている可能性のあるものの良いリストを持っています(tm)。したがって、一般的に、管理者はファイルを削除する前に適切な注意を払っていません。通常、新しい環境を引き継ぐときは、ユーザーや他の管理者が知っているグループを文書化して(各グループのADにメモや説明を追加して)、明らかに使用されていないように見えるグループ(空のグループ、グループ)を攻撃し始める計画を​​立てます。 contianが無効にしたユーザーなどのみ)。その後、ユーザーのみを含むグループからグループを攻撃し始めます。これを行う便利な方法の1つは、グループを削除せずに、メンバーシップを新しいグループにコピーした後でメンバーを削除することです(これをOLD_grouptogetdeletedと呼びます)。ベース コピーグループメンバーシップスクリプト はtechnetスクリプトセンターにあります。私はまだそれをPowerShellに変換することを気にしませんでした。ソースのメンバーを削除するように簡単に変更できます(または、必要に応じて11月にDELETE MEと言ってメモを貼ります)。その後、叫び声が始まるまで約6か月待ちますが、そうでない場合は-I空のグループを削除します(またはあなたmightは、説明フィールドで現在の月に一致するグループをスキャンするタスクをスケジュールするか、説明のないグループを削除します.。。

一言で言えば、あなたの壊れた鼻を突く、あなたが叫ぶのを見て、それが痛いかどうか尋ねる医者のように、時々あなたはそれが痛いかどうかあなたに言うようにユーザーを突く必要があります。

4
Jim B