Вас только что наняли в компанию А, а старого администратора там больше нет. Начинают поступать запросы на добавление пользователей в группу ограничения Интернета. Когда вы смотрите на группы, ни одно из названий не имеет смысла, и нет документации, объясняющей, на что каждая группа имеет права и что она делает. Это вызвало бы у меня беспокойство. В целях безопасности, как узнать, есть ли у всех правильные права.
Как бы вы узнали, на что у групп есть права? Есть ли инструмент, который найдет для вас эту информацию?
Вы этого не сделаете. Есть так много вещей, что вы, по сути, не можете этого сделать, если вы еще не знаете всю среду. Видеть : Как я могу проверить доступ группы / пользователя в AD перед удалением?
Посмотрите на ответ Бена Пилброу частичный список вещей, на которые объекту в AD могут быть предоставлены права. Если вы знаете, что каждое приложение в вашей среде, которое может иметь объект AD, получает назначенный ему ACL, вы можете запросить каждое из них для каждого ACL.
Active Directory - это провайдер аутентификации и службы каталогов. Он содержит только разрешения, которые относятся к самому активному каталогу (например, вы можете изменять членов этой группы, можете ли вы изменять этого пользователя и т. Д.). Используя только активный каталог, невозможно определить, для чего на самом деле используется группа или пользователь. Юо правы, опасаясь аспекта безопасности. yuo aer сейчас в ситуации, когда вы можете быть социально спроектированы, чтобы дать кому-то доступ к тому, чего он не должен иметь. В этой ситуации я, вероятно, начал бы с запуска какого-либо аудита, либо собственного Windows, либо такого инструмента, как менеджер доступа к квестам, чтобы начать гадать, кому что принадлежит. После того, как вы потратили время на эти отчеты, вы можете начать сокращать группы (см. мой ответ здесь для предлагаемой методологии. Делая это, избавьте себя от головной боли в будущем:
Инструмент sysinternals, AccessEnum, может вам помочь. Он предоставляет разрешения на чтение, запись и отказ для каждого каталога по определенному пути. Это очень полезный инструмент, но вы должны отметить, что его вывод также очень подробный.
http://technet.microsoft.com/en-us/sysinternals/bb897332
Также есть accesschk. Вы можете использовать его для отображения конкретной информации о доступе для конкретного пользователя к определенному каталогу и его файлам.