我正在编写季度审计脚本,并试图向数据所有者提供有关他们管理的组的信息。此操作最困难的方面是确定特定 Active Directory 组有权访问哪些文件夹。因为我继承了架构,所以我无法知道哪些组可以访问哪些文件夹。
有没有 AccessEnum 的替代品可以让我指定递归深度,或者有没有其他工具可以让我捕获这些信息而不需要扫描 DFS 上的每个文件?
答案1
不幸的是,ACL 绑定到文件夹,而不是组,因此没有真正的方法可以确定组可以访问哪个文件夹,除非检查每个文件夹。AccessEnum 是我所知道的最好的方法(我以为我见过一个效果更好的 PS 脚本,但现在找不到了)。
如果这样可以使事情变得更容易,您可以使用 AccessEnum 将所有文件夹的权限导出到 csv 或类似文件,然后为您的组解析此 CSV,而不是每次都使用 AccessEnum。