情况如下。我有一个 Windows 2003 Active Directory 安全组,创建于 2007 年,但没人记得它是做什么用的。是否可以找出 AD 实施中分配给该组的权限?(它是控制文件夹权限、用于委派用户创建,还是什么都不做?)
我们使用 Windows 2003 作为 AD 控制器。AD 控制器也是根 DFS 服务器,但我们使用 Openfiler 来提供实际的 SMB/CIFS 共享服务。
该组不属于任何组织,并且该组中只有 IT 人员。我尝试使用 sysinternals 工具集中的 accesschk,但没有帮助。还有其他我应该查看的工具吗?
答案1
如果该群组中人数不多,只需停用该群组并查看会发生什么。告诉该群组中的任何人您正在做什么会有所帮助,这样当某些事情不再起作用时您可以快速调查。不要在度假前的最后一天这样做。;)
假设您不使用用户帐户(来自您的员工)来进行自动化流程。
答案2
ShareEnum 和 AccessEnum 是我用来尝试寻找与该组相关的共享/NTFS 权限的工具。
http://technet.microsoft.com/en-us/sysinternals/bb897442.aspx
http://technet.microsoft.com/en-us/sysinternals/bb897332.aspx
您还应该考虑到,完全有可能将用户添加到安全组只是为了将该组置于应用了组策略的 OU 中。
GPMC 是我所知道的找出组策略实际作用的最快方法。
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
抱歉,如果我倾向于首先跳出思维的框框,但我们确实说过“没人记得它是干什么用的“。完全有可能没有工具可以显示该组的用途,因为该组可能存在,但过去应用的权限或策略可能已被删除。