blob 10 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Hallo zusammen, kennt jemand einen Weg, um sich die ACL also die Rechte von der AD Config Partition auszulesen? Scriptsprache erstmal egal, vorzugsweise VBS oder PS. Ich habe ein Script geschrieben um die ACL von Ordnern und Dateien auszulesen, aber wie ich die AD Partitionen auslese... kein Plan :-( Google gibt mir auch nichts brauchbares wieder in Bezug auf "VBS default naming context" oder "VBS configuration naming context". Hintergrund: Ich möchte für Exchange die alten Rechte auf dem entsprechenden Container aufräumen. Damit ich nicht mit ADSIEDIT jeden Ordner durcklicken muss, würde ich mir die Rechte gerne exportieren (CSV, TXT etc.) und reviewen. Dabei muss nichtmal genannt werden, welches Recht vorhanden ist, ich will mit der Suche in z.B. Excel einfach nach verschiedenen Usern/Gruppen suchen, die auf irgendwelchen Objekten mit einem Recht noch auftauchen. Gruß blob Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Moin, du suchst LIZA. Das beantwortet dir deine Fragen (soweit ich sie richtig verstehe) ohne Export. [LIZA - Active Directory Security, Permission and ACL Analysis]http://www.ldapexplorer.com/en/liza.htm Gruß, Nils Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 3. April 2013 Autor Melden Teilen Geschrieben 3. April 2013 Super Tool, habe es gerade ausprobiert. Es erleichtert etwas die Arbeit, aber leider noch nicht so wie ich es brauche. Ich kann nun schön alla Explorer in der Config. Partition navigieren, und für meine bestimmten Gruppen die Rechte analysieren. Als Ergebnis erhalte ich jedoch nur eine Hervorhebung der Gruppen in roter Schrift, was ja schonmal erleichternd ist. Aber dennoch muss ich im "tree" sozusagen alle "Ordner" aufklappen und schauen, wo ich nun eine rote Hervorhebung wahrnehme (ich weiß ja nicht wo die Gruppe/User überall vergraben ist, und z.B. explizit auf Unter-Unter-Unter-Unter Objekte Rechte hat). Bei zig tausend Unterordnern (ca. 80 administrative Gruppen) doch noch eine Menge Arbeit :-( Dadurch das ich nichts exportieren kann, muss ich jedesmal den Analyser neu ausführen, wenn ich das Programm schließe. Aber natürlich vielen Dank, die richtige Richtung ist es schon. Noch jemand ne Idee? Wenn ich wüsste ich ich mit VBS /PS zu der Partition verbinden kann und die ACL abrufe, kann ich dort ansetzen und ein Script schreiben. Vielen Dank im Voraus. Gruß blob Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Hi, Mir erschließt sich der Sinn der Aktion nicht - was genau an ACLs möchtest Du im Configuration Naming Context ändern? In der Regel musst Du diesen NC nicht anpassen, schon gar nicht ACL-technisch. Was genau ist der technische Hintergrund dafür? Viele Grüße olc Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 4. April 2013 Melden Teilen Geschrieben 4. April 2013 Moin, och, dazu kann es schon Gründe geben. Exchange beispielsweise oder der Active Directory Connector, den man früher für Exchange brauchte, haben durchaus die DS-ACLs im Configuration-NC manipuliert. Wenn es tatsächlich eine Auswertung dieser Art sein soll, wird man vermutlich an kommerziellen Tools nicht vorbeikommen. Konkrete Empfehlungen dazu kann ich keine nennen, aber eine Handvoll sollte es geben. Man muss dabei abwägen, ob der Aufwand gerechtfertigt ist. Beispiel: Ein gelöschter oder gesperrter Account oder eine Gruppe ohne Mitglieder stellen als Berechtigte in ACLs praktisch kein relevantes Risiko dar. Gruß, Nils Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 4. April 2013 Autor Melden Teilen Geschrieben 4. April 2013 (bearbeitet) @olc:ich will nichts ändern, ich will nur kontrollieren (mit einer Suchfunktion), ob bei einem bestimmten Objekte inkl. Unterobjekte bestimmte User/Gruppen noch vorhanden sind, z.B. wenn eine Vererbung mal deaktiviert wurde.Habe nun was gefunden => dsaclsQuelle: http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspxDaraufhin kleines Script gebaut, hier mal der Code (Alpha Version aber klappt): set-location ad:$logfile = "C:\Users\User1\Desktop\log.txt" $Items = Get-ChildItem -path "AD:\CN=1ORG,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=lala,DC=net" -recurse foreach ($CItem in $Items) { get-item $CItem | ft name,DistinguishedName -AutoSize >>$logfile (Get-Acl $CItem.DistinguishedName).access | ft identityreference, accesscontroltype -AutoSize >>$logfile "###################################################" >>$logfile } Danke für die Unterstützung! Grüße,blob bearbeitet 4. April 2013 von blob Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.