您刚刚被 A 公司聘用,原来的管理员已经离职。开始收到将用户添加到互联网限制组的请求。当您查看这些组时,所有名称都毫无意义,并且没有任何文档可以解释每个组拥有哪些权限以及它们可以做什么。这让我感到担忧。为了安全起见,您如何知道每个人都拥有正确的权限。
您如何发现这些团体拥有哪些权利?是否有工具可以帮您找到这些信息?
答案1
你不需要。有太多事情要做,除非你已经了解整个环境,否则你基本上无法做到。参见:在删除 AD 中的组/用户之前,如何检查其访问权限?
请参阅 Ben Pilbrow 的回答,了解 AD 中实体可以被授予权限的部分列表。如果您知道环境中每个可以为 AD 实体分配 ACL 的应用程序,那么您可以查询每个 ACL。
答案2
sysinternals 工具 AccessEnum 或许能帮到你。它为特定路径中的每个目录提供读取、写入和拒绝权限。这是一个非常有用的工具,但你应该注意,它的输出也非常冗长。
http://technet.microsoft.com/en-us/sysinternals/bb897332
还有 accesschk。您可以使用它来显示特定用户对特定目录及其文件的特定访问信息。
答案3
Active Directory 是一种身份验证和目录服务提供程序。它仅包含与 Active Directory 本身相关的权限(例如,您可以查看此组的成员吗、您可以修改此用户吗等)。仅使用 Active Directory 无法确定组或用户的实际用途。您担心安全方面是正确的。您现在处于一种可能被社会工程学欺骗的情况,即授予某人访问他们不应该访问的内容的权限。在这种情况下,您可能会首先运行某种审核,无论是 Windows 原生的还是类似任务访问管理器,以便开始猜测谁拥有什么。花大量时间阅读这些报告后,您可以开始精简群组(请参阅我的答案在这里以获得建议的方法。在这样做的同时,可以通过以下方式避免将来的麻烦:
- 使用管理者字段
- 填写描述,具体说明该组存在的原因(例如“用于超酷的
SharePoint 服务器”) - 使用注释字段来记录特殊处理说明(例如“JimB 的团队拥有这个群组,所有成员资格请求都必须由他们处理 - 不要将其设为通用群组,因为它会破坏某些 ldap 查找”)