Назад | Перейти на главную страницу

есть ли в AD хороший инструмент для просмотра разрешений?

Я хочу видеть красивую картину вложенных групп в AD. Есть ли какие-нибудь продукты, которые делают это для меня?

Я создал сценарий HTA, который отображает вложенные группы в графическом интерфейсе. Надеюсь, это поможет.

Вы можете скачать его здесь: http://zeda.nl/t03

Если вы работаете на компьютере с Windows, вы можете использовать dsget group команда с -members -expand для расширения групп с членством через вложение. Я не уверен, что это то, что вам нужно, но я надеюсь, что это поможет, если вы еще не нашли более элегантного решения. В качестве предупреждения этот код не приходит мне в голову, поскольку у меня больше нет доступа к машине с Windows:

$all_members = []
$nested_groups = []

dsquery group -limit 0 | ?{$_ -imatch "cn=$your_groupname,"} | dsget group -members -expand | % {
    # these are all the members of the group, including those groups with
    # membership via nesting

    # you could omit the users by extracting the group name from $_
    # and testing that they are a group

    $possible_group = $_

    if ( $possible_group -imatch "cn=([^,]+)," ) {
        $possible_group_name = $matches[1]
        $all_members += $possible_group_name

        # this condition may or may not work.  if not, get sample output
        # from calling dsquery group on a user and use that as the condition
        # instead

        if ( dsquery group -name $possible_group_name -ne $null ) {

            # alternatively, you could make each member of $nested_groups
            # an array, make this a function, and recursively collect
            # the entire nesting of this and all sub-groups

            $nested_groups += $possible_group_name
        }
    }
}

write-host "groups in $your_groupname, via nesting"

$nested_groups | % {
    write-host "`t$_"
}

Write-host "groups and users in $your_groupname, via nesting"

$all_members |  % {
    write-host "`t$_" 
}

Я надеюсь, что код работает для вас, а если нет, возможно, с моей стороны произошла небольшая опечатка из-за плохой памяти.

Удачи! :)

Я не уверен, что это то, что вы ищете, но мое приложение SetACL Studio имеет очень приятный пользовательский интерфейс и разработан для замены встроенного редактора Windows ACL Editor.

Он отображает разрешения для файлов и папок, ключей реестра, общих сетевых ресурсов, принтеров, служб и объектов WMI. Конечно, смена прав доступа и владельца тоже возможна.