Я убираю унаследованный домен, который плохо документирован. Как я могу проверить, что у определенной группы или пользователя нет ACE в AD?
Такие вещи, как поиск в DACL / SACL объектов AD и объектов файлового сервера. Проводят ли администраторы даже такую должную осмотрительность?
[Edit] Я пока не могу добавлять комментарии, но хочу поблагодарить Бена и Джима за их ответы. Подготовка таких вдумчивых ответов занимает много времени, поэтому я уважаю их щедрость и готовность поделиться своим опытом.
Спасибо за список мест, где можно проверить разрешения на основе AD - очень полезно.
Я оценил предложения по сохранению пустых групп для повторного заселения, если доступ случайно будет закрыт. Я уже написал код C # для перечисления членства в группах, поэтому у меня есть резервная копия. (Мне легче работать, чем PowerShell.) Я также использую инструменты sysinternals, такие как ShareEnum.
Поля Примечания / Описание - что это такое? Серьезно, я знаю, что это такое, но мои предшественники ими не пользовались. Они также не использовали вложенные группы.
Это трудно. Очень сложно. Вы можете сделать что-то вроде написания скрипта для перебора файловой системы и оценки разрешений, но это будет несколько громоздко - вам придется запускать его на каждом сервере, и это может занять много времени в зависимости от количества файлов на сервере.
Посмотрите на участников группы. Являются ли они в первую очередь группой людей из одного отдела? Это может указать вам правильное направление, и если у вас есть загадочное название группы (например, HSGD Super Users
где HSGD
является ведомственным LOB-приложением), вы можете спросить, не значит ли это что-нибудь для них.
Проверить Ноты поле группы, чтобы увидеть, есть ли в нем что-нибудь полезное (намек: это поле ОЧЕНЬ полезно, и я рекомендую вам использовать его в будущем).
Чтобы это была тщательная проверка, вам нужно будет проверить другие вещи, кроме разрешений файловой системы. Что-нибудь который может использовать разрешения Windows, необходимо будет проверить, и, к сожалению, я могу гарантировать, что вы что-то забудете (все всегда забывают оборудование). Хотя с головы до ног:
Я также должен отметить кое-что очень важное, а именно: вы не должны забывать о косвенном членстве пользователей в группах из вложенных групп. Поверьте, это круто - я делал это раньше.
Наконец, я был несколько легкомыслен, когда сказал это в комментарии к вашему вопросу, так что сделайте все, что хотите, из этого небольшого совета. Если у вас есть группа, которую вы хотите удалить, запишите участников группы и просто удалите их всех из группы. Важно, чтобы вы не удалили группу немедленно, потому что, если у этой группы есть разрешения, предоставленные повсюду, и вы вызовете серьезную поломку, вы захотите быстро исправить это, добавив всех обратно. Если вы удалите группу, вам сначала нужно вычислить укажите, где предоставляются разрешения (чего вы не знаете), и примените те же самые разрешения, что и раньше, которые могут не быть разрешениями по умолчанию (опять же, чего вы не знаете).
У Бена есть хороший список вещей, которые могут пойти не так (тм). Так что нет, как правило, администраторы не уделяют должного внимания удалению файлов. Обычно при переходе к новой среде я тратил некоторое время на документирование того, о каких группах знают пользователи и другие администраторы (добавляя примечания и описания в AD для каждой группы), а затем разрабатываю план, чтобы начать разбивать группы, которые выглядят явно неиспользуемыми (пустые группы, группы это только пользователи с ограниченными возможностями и т.д.). После этого я начинаю разбивать группы, начиная с групп, которые содержат только пользователей. Один из удобных способов сделать это - НЕ удалять группу, а просто удалять участников после копирования членства в новую группу (которую я легко называю OLD_grouptogetdeleted). База скопировать скрипт членства в группе находится в центре сценариев технет. Я еще не удосужился преобразовать его в PowerShell. Его можно легко изменить, чтобы удалить участников источника (или прикрепить пометку, сказав УДАЛИТЬ МЕНЯ в НОЯБРЕ (если вы того пожелаете). После этого я жду около 6 месяцев, пока не начнется крик, а если нет - я удалите пустую группу (или вы мощь запланировать задачу на сканирование групп, соответствующих текущему месяцу в поле описания, или удалить группы без описания ...
Вкратце, это очень похоже на врача, который ткнет ваш сломанный нос, наблюдает за тем, как вы кричите, а затем спрашивает, больно ли это, иногда вам нужно тыкать в пользователя, чтобы он сказал вам, больно ли.