如何提取域用户在网络上拥有的所有权限

如何提取域用户在网络上拥有的所有权限

我想知道所有权限Windows 域用户我的网络中有。有没有办法,使用脚本文件或工具,可以通过以下方式提取此类信息:检查我的网络中的所有服务器和计算机? 我在装有 Windows Server 2008 R2、Windows XP、Windows 7 的 Microsoft 网络上。

报告应包括以下信息:

  • 报告域用户拥有的所有权限(读、写等...)
  • 如果域用户属于域组,请告诉我该组在我的网络中拥有的权限

因此报告可能是这样的:

DOMAIN.COM 中 USER_A 的权限

  • 该用户属于这些域组的一部分:
    • 组 A
    • 组 B
  • 服务器 A
    • W:\wwwRoot(从 GROUP_A 继承的 R/W)
    • W:\共享文件夹(R)
  • 服务器 B
    • c:\projects(读/写)
    • c:\projects\project_a (读/写)
    • c:\projects\project_b (读/写)
    • c:\dumpfolder(从 GROUP_B 继承的 R/W)
  • 计算机_A
    • 本地\管理员
    • c:\(读/写)

答案1

我建议你看看Sysinternals 工具(现在是 Microsoft 的一部分)特别是 AccessChk 和 AccessEnum。我自己没有用过它们,但它们听起来适合您的需求。

答案2

除了显而易见的一点——在拥有 1000 多台服务器的域中,这非常昂贵之外,您还需要编写一些脚本来从 AD 中检索所有计算机,然后使用具有查看权限的管理员帐户对它们进行迭代全部的权限全部文件系统对象。

这太疯狂了。

答案3

我相信没有免费的工具可以实现这一目的...我知道的一个商业工具是Quest的Access Manager。 http://www.quest.com/access-manager/

这就是他们的说法

数据智能- 分析谁在访问和使用数据以及频率,以帮助确定存档和删除未使用数据的数据保留策略。

访问洞察- 为企业主生成智能报告,清楚地​​显示谁在控制和访问数据、谁是所有者,或者建议潜在所有者帮助启动合规证明流程。

数据控制- 安全访问数据、文件和共享,以便只有有业务需要的人员才能访问敏感信息。

合规责任- 将所有数据的所有权分配给适当的业务所有者,以便进行问责和合规报告。

访问活动- 识别并监控关键数据以追踪所有访问,包括谁在何时访问了数据等详细信息,并以日志形式保留这些详细信息。

答案4

权限分析器会有所帮助,但它是一种商业产品。

没有什么神奇的工具可以扫描所有内容。因为扫描所有资源 IT 的作用远不止文件共享:

  • SharePoint 访问
  • Exchange 访问
  • SQL 访问
  • 以及所有其他产品,包括非 MS 产品……

最佳做法是避免基于用户帐户直接访问(正如其他人所说),并将请求作为票证进行管理(通过票证工具),这样您就可以跟踪请求,而不是深入真正的系统矩阵。

相关内容