Я хотел бы знать все разрешения пользователь домена Windows есть в моей сети. Есть ли способ с помощью файла сценария или инструмента, который может извлечь такую информацию с помощью проверка всех серверов и компьютеров в моей сети? Я нахожусь в сети Microsoft с Windows Server 2008 R2, Windows XP, Windows 7.
Отчет должен включать такую информацию:
поэтому отчет может быть примерно таким:
Разрешения для USER_A в DOMAIN.COM
Как говорит @adaptr, это может быть очень дорого, если не невозможно. Если только ... Вы должны взять на себя организационное обязательство НИКОГДА не помещать UserID непосредственно в ACL. Используйте группы для всего. Если вы это сделаете, вы просто составите список групп, членом которых является человек, и к которым эти группы предоставляют доступ.
В нашей среде у нас есть три группы для каждой общей папки Share_Read, Share_Write и Share_Admin. Мы никогда не добавляем индивидуальную учетную запись в общую папку, ЗА ИСКЛЮЧЕНИЕМ их домашней папки.
Я считаю, что для этого нет бесплатных инструментов ... один известный мне коммерческий инструмент - это Access Manager от Quest. http://www.quest.com/access-manager/
это то, что они утверждают
Data Intelligence - Анализируйте, кто получает доступ и использует данные, а также как часто, чтобы помочь определить политики хранения данных для архивирования и удаления неиспользуемых данных.
Access Insight - Создавайте интеллектуальные отчеты для владельцев бизнеса, чтобы четко показать, кто контролирует и получает доступ к данным, кто является владельцем, или предлагать потенциальным владельцам помочь инициировать процесс аттестации на соответствие.
Контроль данных - Безопасный доступ к данным, файлам и общим ресурсам, чтобы конфиденциальная информация была доступна только тем, у кого есть деловые потребности.
Ответственность за соблюдение нормативных требований - Передайте право собственности на все данные соответствующим владельцам бизнеса для отчетности и соблюдения нормативных требований.
Доступ к активности - Выявление и мониторинг ключевых данных для отслеживания всего доступа, включая такие сведения, как кто и когда обращался к данным, а также сохранять эти данные в форме журнала.
Помимо очевидного - что это безумно дорого в домене с более чем 1000 серверов - вам нужно будет написать сценарий, который извлекает все машины из AD, а затем перебирает их с учетной записью администратора, которая имеет права на просмотр все разрешения все объекты файловой системы.
Это безумие.
Предлагаю вам заглянуть в Инструменты Sysinternals (теперь часть Microsoft), в частности AccessChk и AccessEnum. Я сам ими не пользовался, но они подходят для ваших нужд.
Анализатор разрешений помогло бы, но это коммерческий продукт.
Не существует волшебного инструмента, который сканирует все. Поскольку сканирование всех ресурсов IT может пойти гораздо дальше, чем общий доступ к файлам:
Лучшая практика - избегать прямого доступа на основе учетной записи пользователя (как говорят другие) и управлять запросом как тикетами (через инструмент тикетов), чтобы вы могли отслеживать запрос без погружения в реальную матрицу системы.