如果我有一个安全组,有没有简单的方法可以查看它用于哪些安全策略?有没有简单的方法来交叉引用这些信息?也许有一种方法可以导出所有安全策略的完整列表,并列出每个策略的安全组名称?
答案1
据我所知,没有简单的方法。你可以做的是记录成员/嵌套组是谁,并将他们从组中移除。如果没有人尖叫,则删除该组,否则将他们放回组中。这可能不是最政治化的方法,但却是找出问题的最快方法。
答案2
您可以轻松查看群组属于哪些群组,以及群组中有哪些用户。
这就是轻松的结束。
对于文件系统,您可以使用 cacls 等基本工具来列出谁有权限,但这通常是一堆无用的东西。您还可以使用审核和事件日志来追踪一些使用模式。有一些商业工具可以使这些任务更容易一些。
以上任何一项都不能替代文档,因为马克·M提到。最佳实践和适当的文档是控制访问控制的最佳选择。
答案3
我不确定您在引用安全策略时指的是什么,但我怀疑您指的是文件和文件夹权限以及控制委派。
我可以从第一手经验告诉你,管理和跟踪它绝非易事。我工作的环境对高级和初级管理员能做什么和不能做什么有着非常明显的区分。初级管理员只能管理一组有限的 GPO 的组策略,对管理有限数量的服务器的权限有限,对一小部分 AD OU 的访问权限有限,对少数 DNS 区域的访问权限有限,可以跟踪 TS 用户,但不能自己通过 TS 登录,等等。跟踪它的唯一方法是记录它。