如何在刪除之前檢查 AD 中的組/使用者的訪問權限?
我正在清理一個沒有很好記錄的繼承域。如何檢查特定組或使用者在 AD 中是否沒有 ACE?
比如在 DACL/SACL 中搜尋 AD 對象和文件伺服器對象。管理員甚至會進行這種盡職調查嗎?
$$ Edit $$ 我還不能添加評論,但我要感謝 Ben 和 Jim 的回复。準備如此深思熟慮的答案需要很長時間,因此我尊重他們的慷慨和分享經驗的意願。 感謝您提供檢查基於 AD 的權限的位置列表 - 非常有幫助。
如果無意中刪除了訪問權限,我很欣賞保留空組以重新填充的建議。我已經編寫了一些 C# 程式碼來列舉組成員身份,所以我有那個備份。(我發現它比 PowerShell 更容易使用。)我還使用像 ShareEnum 這樣的 sysinternals 工具。
註釋/描述欄位 - 它們是什麼?說真的,我知道它們是什麼,但我的前輩沒有使用它們。他們也沒有使用嵌套組。
這很難。很難。您可以執行諸如編寫腳本來遍歷文件系統並評估權限之類的操作,但這會有些麻煩-您必須在每台伺服器上執行它,並且可能需要很長時間,具體取決於伺服器上有多少文件。
看看群裡的成員。他們主要是來自一個部門的一群人嗎?這可能會為您指明正確的方向,如果您有一個神秘的組名(例如
HSGD Super Users,HSGD部門 LOB 應用程序在哪裡),您可以詢問這對他們是否意味著什麼。檢查組的Notes欄位以查看它是否包含任何有用的內容(提示:該欄位非常有用,我建議您繼續使用它)。
為了進行徹底的檢查,您將不得不檢查文件系統權限以外的其他內容。任何能夠使用 Windows 權限的東西都需要檢查,不幸的是我可以保證你會忘記一些東西(每個人總是忘記硬體設備)。不過在我的腦海中:
- 文件系統權限
- SQL 伺服器
- 微軟交換
- 您的防病毒軟體(主要是伺服器管理控制台,如果適用)
- 計劃任務
- 視窗服務
- Active Directory 委派權限
- 授予特定 AD 使用者/組的單個工作站的權限
- 備份軟體登錄帳戶
- 硬體設備(使用 AD 帳戶進行身份驗證)
- Linux 機器/服務(類似地,在它們上執行的服務可能使用 LDAP 並使用專用帳戶進行身份驗證)
- 您使用的任何和所有 LOB 應用程序
我還應該指出一些非常重要的事情,那就是你不應該忘記使用者來自嵌套組的間接組成員資格。相信我,這是一個真正的踢球者——我以前做過。
最後,當我在對您的問題的評論中這麼說時,我有點輕率,所以請按照您的意願提出這一點建議。如果您有要刪除的群組,請記下群組成員,然後將他們全部移出群組。重要的是,您不要立即刪除該組,因為如果該組在所有地方都授予了權限並且您造成嚴重破壞,您將希望通過重新添加所有人來快速修復它。如果您刪除該組,您首先必須弄清楚找出授予權限的位置(您不知道)並應用與以前完全相同的權限,這可能不是預設權限(同樣,您不知道)。