我正在尝试识别 AD 树中各个区域的潜在权限问题。我想到的是使用 SysInternals FileMon 之类的工具来实时监控 Active Directory 中的对象访问。
例如:将计算机添加到域中。
有没有类似的东西?有没有更好的方法?
答案1
如果您说的是某个服务试图读取...什么对象?我想我可能没有注意到 AD 与相关对象有什么关系。我发现用于读取对象访问的最佳工具是 filemon 和 regmon 以及 procmon,它们都来自 sysinternals。这通常可以很好地概述哪些功能有效,哪些功能无效。
我们确实遇到过 AD 策略未被系统定期读取的情况,唯一似乎有效的方法是:A) 重新启动。下次可能会读取。B) 强制刷新策略。不过,刷新时间/方式似乎是随机的,而 Windows 在反馈正在发生的事情方面简直太棒了。哈哈!C) 解决这个问题。例如,将打印机分配给某些计算机有时会不起作用,有时会起作用,所以最终我们开始将免费软件 AdPrintx 安装在我们部署的每个工作站上,并在启动文件夹中添加一个批处理文件,以添加默认打印机,同时绕过 AD 的随机挫败感。
答案2
我猜您想到使用事件日志,它应该在尝试编辑 AD 对象时报告权限问题。
答案3
你有没有尝试过转储安全。我看到审计人员使用它来很好地了解 AD 中的权限和安全设置。
答案4
您尝试过 LIZA 了吗?它是用于 Active Directory 权限分析的免费工具: