Windowsドメインユーザーがネットワークで持っているすべての権限を知りたいです。スクリプトファイルまたはツールを使用して、この種の情報を抽出できる方法はありますかネットワーク内のすべてのサーバーとコンピューターをチェックする? Windows Server 2008 R2、Windows XP、Windows7を使用するMicrosoftネットワークを使用しています。
レポートには、次の種類の情報を含める必要があります。
したがって、レポートは次のようになります。
DOMAIN.COMのUSER_Aの権限
Sysinternalsツール (現在はMicrosoftの一部)、特にAccessChkとAccessEnumを調べることをお勧めします。私自身は使ったことがありませんが、あなたのニーズに合っているようです。
このための無料のツールはないと思います...私が知っている商用ツールの1つは、QuestのAccessManagerです。 http://www.quest.com/access-manager/
これは彼らが主張するものです
データインテリジェンス-データにアクセスして使用しているユーザーと、未使用のデータをアーカイブおよび削除するためのデータ保持ポリシーの決定に役立つ頻度を分析します。
Access Insight-ビジネスオーナー向けのインテリジェントなレポートを作成して、データを管理およびアクセスしているユーザー、所有者を明確に示したり、潜在的なオーナーに支援を提案したりしますコンプライアンスの証明プロセスを開始します。
データ制御-データ、ファイル、および共有への安全なアクセス。これにより、ビジネスニーズのある人だけが機密情報にアクセスできます。
コンプライアンスの説明責任-説明責任とコンプライアンスの報告のために、すべてのデータの所有権を適切な事業主に割り当てます。
アクセスアクティビティ-主要なデータを識別および監視して、誰がいつデータにアクセスしたかなどの詳細を含むすべてのアクセスを追跡し、詳細をログ形式で保持します。
明らかなことは別として(これは1000以上のサーバードメインではめちゃくちゃ高価です)、ADからすべてのマシンを取得するスクリプトを作成し、表示する権限を持つ管理者アカウントでそれらを反復処理する必要がありますすべてallファイルシステムオブジェクトの権限。
それは非常識です。
@adaptrが言うように、これは不可能ではないにしても本当に高価になる可能性があります。ただし...ユーザーIDをACLに直接入れないように組織的にコミットする必要があります。すべてにグループを使用します。これを行う場合は、ユーザーがメンバーになっているグループと、それらのグループがアクセスを許可するグループのリストを作成するだけです。
私たちの環境では、Share_Read、Share_Write、Share_Adminの共有ごとに3つのグループがあります。ホームシェアを除いて、個人アカウントをシェアに追加することはありません。
Permission Analyzer は役に立ちますが、これは商用製品です。
すべてをスキャンする魔法のツールはありません。すべてのリソースをスキャンするITは、ファイル共有よりもはるかに進んでいる可能性があるためです。
ベストプラクティスは、(他の人が言っているように)ユーザーアカウントに基づく直接アクセスを避け、(チケットツールを介して)チケットとしてリクエストを管理することです。これにより、実際のシステムマトリックスをダイビングする代わりにリクエストを追跡できます。