Koten 10 Geschrieben 5. Mai 2010 Melden Teilen Geschrieben 5. Mai 2010 Hallo zusammen, Standardmässig vergibt man ja NTFS-Berechtigungen nur an Gruppen. Nun müssen aber bei uns die so genannten Verzeichnisverantwortlichen aus der Fachabteilung überprüfen, wer jetzt Zugriff auf Ihre verzeichnisse hat. logischerweise können die mit den verhältnismäßig kryptischen Gruppennamen nichts anfangen. Wer kennt ein Tool, mit dem ich die Benutzer auslesen kann, die Zugriff auf ein Verzeichnis haben? Es müsste also die Gruppen auslesen und diese dann rekursiv (damit auch verschachtelte Gruppen aufgelöst werden) die Benutzer auslesen, die in den Gruppen mitglied sind. Besten Dank für Eure Hilfe. Gruß, Koten Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 5. Mai 2010 Melden Teilen Geschrieben 5. Mai 2010 Moin, dsget group "CN=Consulting,OU=Gruppen,DC=domain,DN=de" -members -expand gibt dir die Mitglieder einer Gruppe inkl. Verschachtelung aus. Das mit der Auswertung von ACLs zu koppeln, halte ich für ungünstig; besser sollten die Prüfenden im Moment der Überprüfung bei Bedarf die Gruppenmitglieder auslesen. Bei regelmäßigem Bedarf verdienen Zusatztools wie der Enterprise Security Reporter von Scriptlogic einen Blick. Gruß, Nils Zitieren Link zu diesem Kommentar
Koten 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Ich wollte eigentlich vermeiden, dass die Benutzer anfangen müssen, Gruppennamen abzutippen. Mal abgesehen von den Tipfehlern führt das bei den Kollegen nur zu unmut. Besten Dank für den Tip mit dem Tool, auf der Webseite hab ich mir das auch schon mal angeschaut. :-) Kann man den SecurityReporter einem normalen Benutzer an die Hand geben (nach kurzer Einweisung), damit er seine Auswertungen selbst fahren kann, oder ist das zu umfangreich. Gruß, Koten Zitieren Link zu diesem Kommentar
BrTzL 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 Moin, also ich arbeite mit dem Freeware Tool DumpSec. Damit kann man sich ganz leicht die Berechtigungen auf Ordner und sogar Fileebene anschauen und die Gruppen mit ihren Mitgliedern anzeigen lassen. Gruß BrTzL Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 Moin, DumpSec kann aber keine verschachtelten Gruppen. Gruß, Nils Zitieren Link zu diesem Kommentar
Koten 10 Geschrieben 7. Mai 2010 Autor Melden Teilen Geschrieben 7. Mai 2010 Ich hab mir dumpsec mal angeschaut. Zum Einen kann es keine verschachtelten Gruppen, was schlecht ist, da wir fast durchgängig Berechtigungen nach dem AGDLP-Prinzip vergeben. Zum Anderen finde ich es für normale Benutzer zu umständlich. Aber trotzdem vielen Dank für den Tip. Koten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.