ドメインユーザーがネットワーク上で持っているすべての権限を抽出する方法
Windowsドメインユーザーがネットワークで持っているすべての権限を知りたいです。スクリプトファイルまたはツールを使用して、この種の情報を抽出できる方法はありますかネットワーク内のすべてのサーバーとコンピューターをチェックする? Windows Server 2008 R2、Windows XP、Windows7を使用するMicrosoftネットワークを使用しています。
レポートには、次の種類の情報を含める必要があります。
- ドメインユーザーが持っているすべての権限(読み取り、書き込みなど)を報告します
- ドメインユーザーがドメイングループに属している場合は、このグループがネットワークで持っている権限を教えてください
したがって、レポートは次のようになります。
DOMAIN.COMのUSER_Aの権限
- ユーザーはこれらのドメイングループの一部です:
- GROUP_A
- GROUP_B
- SERVER_A
- W:\ wwwRoot(GROUP_Aから継承されたR/W)
- W:\ sharedFolder(R)
- SERVER_B
- c:\ projects(R / W)
- c:\ projects\project_a(R/W)
- c:\ projects\project_b(R/W)
- c:\ dumpfolder(GROUP_Bから継承されたR/W)
- COMPUTER_A
- LOCAL\Administrator
- c:\(R/W)
Sysinternalsツール (現在はMicrosoftの一部)、特にAccessChkとAccessEnumを調べることをお勧めします。私自身は使ったことがありませんが、あなたのニーズに合っているようです。
このための無料のツールはないと思います...私が知っている商用ツールの1つは、QuestのAccessManagerです。 http://www.quest.com/access-manager/
これは彼らが主張するものです
データインテリジェンス-データにアクセスして使用しているユーザーと、未使用のデータをアーカイブおよび削除するためのデータ保持ポリシーの決定に役立つ頻度を分析します。
Access Insight-ビジネスオーナー向けのインテリジェントなレポートを作成して、データを管理およびアクセスしているユーザー、所有者を明確に示したり、潜在的なオーナーに支援を提案したりしますコンプライアンスの証明プロセスを開始します。
データ制御-データ、ファイル、および共有への安全なアクセス。これにより、ビジネスニーズのある人だけが機密情報にアクセスできます。
コンプライアンスの説明責任-説明責任とコンプライアンスの報告のために、すべてのデータの所有権を適切な事業主に割り当てます。
アクセスアクティビティ-主要なデータを識別および監視して、誰がいつデータにアクセスしたかなどの詳細を含むすべてのアクセスを追跡し、詳細をログ形式で保持します。
明らかなことは別として(これは1000以上のサーバードメインではめちゃくちゃ高価です)、ADからすべてのマシンを取得するスクリプトを作成し、表示する権限を持つ管理者アカウントでそれらを反復処理する必要がありますすべてallファイルシステムオブジェクトの権限。
それは非常識です。
@adaptrが言うように、これは不可能ではないにしても本当に高価になる可能性があります。ただし...ユーザーIDをACLに直接入れないように組織的にコミットする必要があります。すべてにグループを使用します。これを行う場合は、ユーザーがメンバーになっているグループと、それらのグループがアクセスを許可するグループのリストを作成するだけです。
私たちの環境では、Share_Read、Share_Write、Share_Adminの共有ごとに3つのグループがあります。ホームシェアを除いて、個人アカウントをシェアに追加することはありません。
Permission Analyzer は役に立ちますが、これは商用製品です。
すべてをスキャンする魔法のツールはありません。すべてのリソースをスキャンするITは、ファイル共有よりもはるかに進んでいる可能性があるためです。
- SharePointAccess
- 交換アクセス
- SQLAccess
- そして、MS製品以外を含む他のすべて...
ベストプラクティスは、(他の人が言っているように)ユーザーアカウントに基づく直接アクセスを避け、(チケットツールを介して)チケットとしてリクエストを管理することです。これにより、実際のシステムマトリックスをダイビングする代わりにリクエストを追跡できます。