Вот сценарий. У меня есть группа безопасности Windows 2003 Active Directory, созданная в 2007 году, и никто не помнит, для чего она предназначена. Можно ли узнать, какие права в нашей реализации AD назначены этой группе? (Он контролирует права доступа к папке, используется для делегирования создания пользователя, ничего не делает?)
Мы используем Windows 2003 в качестве контроллеров AD. Контроллеры AD также являются корневыми серверами DFS, но мы используем Openfiler для сервера фактических общих ресурсов SMB / CIFS.
Группа ни к чему не причастна, а единственные люди в группе, входящие в состав ИТ-персонала. Я попробовал accesschk из набора инструментов sysinternals, но это не помогло. Есть ли другие инструменты, на которые мне следует обратить внимание?
ShareEnum и AccessEnum были бы инструментами, которые я бы использовал, чтобы попытаться найти разрешения Share / NTFS, связанные с группой.
http://technet.microsoft.com/en-us/sysinternals/bb897442.aspx
http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx
Вы также должны учитывать, что вполне возможно, что пользователи были добавлены в группу безопасности только с целью помещения этой группы в подразделение, к которому применена групповая политика.
GPMC - это самый быстрый из известных мне способов узнать, что на самом деле делает групповая политика.
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
Извините, если я склонен сначала мыслить нестандартно, но мы сказали "никто не помнит для чего это". Вполне возможно, что ни один инструмент не покажет, для чего предназначена группа, поскольку группа может существовать, но разрешения или политика, которые применялись в прошлом, могли быть удалены.
Если в этой группе не слишком много людей, просто отключите эту группу и посмотрите, что произойдет. Это помогает рассказать кому-нибудь в этой группе о том, что вы делаете, чтобы вы могли быстро выяснить, когда что-то больше не работает. Не делайте этого в последний день перед отъездом в отпуск. ;)
Предполагается, что вы не используете учетные записи пользователей (от вашего персонала) для автоматизированных процессов.