我们正在删除我们工作的公司过时的 AD 帐户。
我联系了某家公司的老板,请他帮我们确定哪些 AD 帐户可以删除。他说他首先想看看删除对象在网络上存储了哪些文件,以帮助决定哪些帐户可以删除。
我们有一个域管理员帐户。有没有办法访问 AD 用户文件?是否有 PowerShell 命令(或 GUI 应用程序)以干净/可呈现的格式列出每个 AD 用户的文件,以便我们向所有者呈现?
我认为他真正关心的只是每个用户的内容家目录(包含文件,音乐等文件夹)——而不是用户可能有权访问的网络共享或共享文件夹——因为家目录是唯一因删除其帐户而面临被删除风险的目录,对吗?
答案1
我们有一个域管理员帐户。有没有办法访问 AD 用户文件?
是的。取得文件的所有权。
是否有一个 PowerShell 命令(或 GUI 应用程序)可以以干净/可呈现的格式列出每个 AD 用户的文件,以便我们可以向所有者呈现?
可能有无数种方法可以做到这一点。选择你喜欢的方法/工具,然后研究如何使用你喜欢的方法/工具来实现它。
主目录是唯一有可能因删除其帐户而被删除的目录,对吗?
当您删除用户帐户时,用户的网络文件夹不会被删除。
答案2
在我尝试回答之前,让我分享一些疑问......
删除 AD 对象(尤其是用户对象)的原因是什么?我担心这真的不是一个好方法,因为 AD 本身和相关系统。一旦用户存在,AD 或其他系统(如果您使用 AD 作为身份验证后端,则甚至是连接的系统)中可能存在(并且很可能存在)多个日志、文件或任何其他对象。相关系统也可能是 exchange / office 365。一旦您简单地删除对象,您就会失去信息的完整性。AD 中每个对象后面都有 SID(AD 环境中的唯一 ID)。
删除用户后,将来再次创建该用户,从技术上讲,这不是同一个用户,而是不同的用户!通常,最佳做法是禁用该用户。该帐户无法使用,如果该用户将来再次有效,您只需启用该帐户即可。
回答您的问题。不幸的是,没有“简单的方法”来获取此信息。您应该遍历文件系统(例如 powershell 脚本)。请注意,如果您真的想删除用户帐户,您还应该删除所有相关信息,例如除拥有的文件之外的文件权限,否则您只会看到简单的 SID 而不是用户名,因此任何未来的审计都会非常混乱。
请考虑禁用该帐户。除了“拥有的文件”之外,还有更多信息。对于任何类型的审计,最好在某个地方禁用用户,而不是未知的 SID ;-)。