Informatie uit AD trekken - Netwerken

dinsdag 23 januari 2007 10:05

Acties:

Topicstarter

Ik zit hier met een klein probleempje. Ik wil graag een netwerkautorisatieplan opstellen (opdracht voor school) maar wil daarom dus eigenlijk weten welke users waarin kunnen. Nu kan ik natuurlijk elke keer weer de eigenschappen van een persoon gaan openen, of de Members tab van een gebruikersgroep, maar dit is gekkenwerk; dan ben ik er volgende week nog mee bezig om alles uit te zoeken

Ik vraag me daarom ook af of er niet ergens een tool bestaat die informatie uit je AD kan inlezen en weer uitspuugt als een TXT bestandje, of beter nog: bestaat dat al binnen AD zelf? Dit zou mij wel mooi uitkomen want anders, zoals ik al zei, ben ik dus té lang bezig om autorisatie groep na autorisatiegroep te doorspitten (we hebben er nogal wat) en elke keer de namen van de Members over te tikken (daar hebben we er nog meer van). Dus als iemand hier een oplossing voor weet zou ik diegene erg dankbaar zijn!

Bunny scientific facts: Bunnies can't assimilate. BUT THEY CAN DANCE!

dinsdag 23 januari 2007 10:09

Acties:

Verwijderd

Uhm... LDAP?

dinsdag 23 januari 2007 10:09

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Er zijn legio tools die de AD kunnen query'en. DSQuery en DSGet zijn standaard tools die hiervoor geschikt zijn. Ook MS heeft een hoop scripts online staan (Microsoft Script Repository).

Maar, dan de belangrijkste vraag: wat heb je zelf al geprobeerd en gevonden?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 23 januari 2007 10:09

Acties:

Meekoh

Nou, AD houd niet bij wie wel en niet ergens in mag AD houd bij wie in welke group zit.
De rechten worden in het NTFS filesystem opgeslagen.
Je kan dus via AD wel uitlezen wie in welke security group zit. Dit kan je zelfs exporteren naar ldap bestandjes. Gaat via de commandline, volgens mij heette het ldifde. Moet je even op google zoeken wat de syntax ervoor is of typ "help ldifde".

Computer says no

dinsdag 23 januari 2007 10:11

Acties:

bonzz.netninja

Niente baffi

offtopic:
kan iedereen een ad query-en? Ik dacht dat je dat pas mag vanaf power-user

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 23 januari 2007 10:14

Acties:

Verwijderd

http://adldap.sourceforge.net

Succes

dinsdag 23 januari 2007 10:15

Acties:

Predator

Suffers from split brain

bonzz.netninja schreef op dinsdag 23 januari 2007 @ 10:11:

offtopic:
kan iedereen een ad query-en? Ik dacht dat je dat pas mag vanaf power-user

Power users zijn locale users, heeft niets met AD te maken

Normaal kan een authenticated user AD queries doen.

Everybody lies | BFD rocks ! | PC-specs

dinsdag 23 januari 2007 10:16

Acties:

bonzz.netninja

Niente baffi

Predator schreef op dinsdag 23 januari 2007 @ 10:15:
[...]

Power users zijn locale users, heeft niets met AD te maken

Normaal kan een authenticated user AD queries doen.

je hebt ook power-users in een domein toch (tenminste, voor mijn sharepointinstallatie moest ik een power user account op het domein hebben)

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 23 januari 2007 10:20

Acties:

@r!k

It is I, Leclerq

bonzz.netninja schreef op dinsdag 23 januari 2007 @ 10:16:
[...]

je hebt ook power-users in een domein toch (tenminste, voor mijn sharepointinstallatie moest ik een power user account op het domein hebben)

Dat is omdat je dan een wijziging gaat aanbrengen, echter queries veranderen niks maar vragen alleen info op.

Hmm, best een risico merk ik als iedereen zomaar een query op een AD zou kunnen uitvoeren. Toch eens opzoeken hoe dat zit.

Een hele rij microsoft certificeringen.

dinsdag 23 januari 2007 10:21

Acties:

bonzz.netninja

Niente baffi

@r!k schreef op dinsdag 23 januari 2007 @ 10:20:
[...]

Dat is omdat je dan een wijziging gaat aanbrengen, echter queries veranderen niks maar vragen alleen info op.

Hmm, best een risico merk ik als iedereen zomaar een query op een AD zou kunnen uitvoeren. Toch eens opzoeken hoe dat zit.

ja, daarom dacht ik dat je power user (in het domein) moet zijn om de ad te mogen bekijken. Of wellicht is dat alleen hier zo natuurlijk. Ik vind het best een risico om dat mogelijk te maken namelijk. Zeker vanuit oogpunt van social enginering e.d

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 23 januari 2007 10:22

Acties:

sh4d0wman

Attack | Exploit | Pwn

Ik heb hier recent dumpsec voor gebruikt omdat ik soortgelijke informatie nodig had voor een audit. Hierbij heb ik de users, groepen en services laten exporteren. Deze vervolgens in een csv bestandje geplempt.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 23 januari 2007 10:40

Acties:

BorgMan

Topicstarter

Ik heb gegoogled onder *informatie uit AD halen* maar daar kwam ik niet verder mee; ook nog een post gedaan op een ander forum maar daar kreeg ik een link naar het scriptomatic tooltje van microsoft; nou ben ik geen wizkid dus moet ik dat tooltje eerst goed gaan doornemen. adLDAP lijkt inderdaad op wat ik nodig heb, hoewel ook ldifde interessant lijkt. Ik weet alleen niet of ik adLDAP mag uitvoeren op de server van mn stagebegeleider maar dat zie ik dan wel weer; hij krijgt er ook wat voor terug dus ik denk niet dat hij het erg vind

Bunny scientific facts: Bunnies can't assimilate. BUT THEY CAN DANCE!

dinsdag 23 januari 2007 10:50

Acties:

@r!k

It is I, Leclerq

Ik zou eerst even toestemming vragen als ik jou was

Een hele rij microsoft certificeringen.

dinsdag 23 januari 2007 12:08

Acties:

BorgMan

Topicstarter

Hmm, een tweede ronde googlen bracht me naar dit documentje: http://searchwinit.techta...3,sid1_gci1187396,00.html . Erg handig! Maar nu wil ik dus omdraaien wat het commando doet: in plaats van de uitvoer te geven per user

LDIFDE -f ADusers.ldf -l "memberOf" -r ("objectClass=user")

wil ik een uitvoer genereren per autorisatiegroep (dus memberOf). Ik dacht dat ik dit wel voor elkaar kon krijgen door de twee om te wisselen door dus

LDIFDE -f ADusers.ldf -l "user" -r ("objectClass=memberOf")

te doen maar daar krijg ik helaas pindakaas geen resultaten mee. Iemand nog tips?

Waarom heb ik het idee dat ik iets simpels over het hoofdzie?

Bunny scientific facts: Bunnies can't assimilate. BUT THEY CAN DANCE!

dinsdag 23 januari 2007 12:14

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Uit de eerder gelinkte script-repository:

List All the Members of a Group
List the Active Directory Groups a User Belongs To
List Group Memberships for All the Users in an OU

Enzovoort

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 23 januari 2007 12:48

Acties:

Zomborro

USCSS Nostromo crew member

Moshe85 schreef op dinsdag 23 januari 2007 @ 10:09:
Nou, AD houd niet bij wie wel en niet ergens in mag AD houd bij wie in welke group zit.
De rechten worden in het NTFS filesystem opgeslagen.
Je kan dus via AD wel uitlezen wie in welke security group zit. Dit kan je zelfs exporteren naar ldap bestandjes. Gaat via de commandline, volgens mij heette het ldifde. Moet je even op google zoeken wat de syntax ervoor is of typ "help ldifde".

A, is dit niet helemaal wat de TS bedoelde volgens mij maar B is dit ook niet helemaal waar. AD houdt niet alleen bij welke group memberships je account bevat maar ook de rechten die je op objecten hebt, zogenaamde security settings.

De uiteindelijke file of disk rechten krijg je inderdaad wel via NTFS welke weer aan accounts (fout!) of groepen gekoppeld zijn. Ook is het mogelijk dat je deze via AD toebedeeld krijgt via (group) policies.

It's life, Jim, but not as we know it...

dinsdag 23 januari 2007 12:54

Acties:

BorgMan

Topicstarter

Hmm, in dit geval maakt hiet niet zoveel uit dat ik de rechten er niet bij krijg want we hebben daar verschillende groepen voor aangemaakt: groep Administratie F mag alles, Administratie R alleen maar lezen, dus dat zit wel snoes.

Ik ga eens met scriptjes stoeien. Nog nooit gedaan dus dat beloofd wat (idd, ik ben een prut ICTer

)

Bunny scientific facts: Bunnies can't assimilate. BUT THEY CAN DANCE!

dinsdag 23 januari 2007 13:00

Acties:

lier

MikroTik nerd

BorgMan schreef op dinsdag 23 januari 2007 @ 12:54:(idd, ik ben een prut ICTer )

Het is altijd goed om je zwaktes te kennen.

Blijft bijzonder dat je na een vierjarige studie ICT niet zoiets eenvoudigs als info uit AD kan ophalen, laat staan informatie op Internet erover te vinden.

Eerst het probleem, dan de oplossing

dinsdag 23 januari 2007 14:01

Acties:

Zomborro

USCSS Nostromo crew member

Dat is volgens mij niks anders dan LDIFDE zoals al eerder besproken:

Linkje

It's life, Jim, but not as we know it...

dinsdag 23 januari 2007 14:07

Acties:

Wim-Bart

Zie signature voor een baan.

Gewoon gebruik maken van dsget+dsquery en daarnaast xcacls. De output kan je dan combineren tot een rapportage (Excel, Access etc.)

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 23 januari 2007 14:18

Acties:

rapture

Zelfs daar netwerken?

BorgMan schreef op dinsdag 23 januari 2007 @ 12:54:
Ik ga eens met scriptjes stoeien. Nog nooit gedaan dus dat beloofd wat (idd, ik ben een prut ICTer )

BorgMan schreef op dinsdag 23 januari 2007 @ 13:08:
Het weten van de juiste zoektermen is al een begin, maar idd het ophalen van info uit AD is iets dat bij ons nooit is besproken, naast het handmatige gedeelte dan he. Blame it on the teachers...

Er zit dus een gat in je opleiding? Onze "netwerkers" krijgen netwerkprogrammeren.

De oplossing is idd WSH-scripts, met beetje ldap erbij.

code:

Set myComputer = GetObject("WinNT://computernaamvanmijncomputer,computer")
myComputer.Filter = Array("user")

set xlsobj=createobject("Excel.Application")
xlsobj.visible=true
xlsobj.workbooks.add

i=1
For Each member In myComputer
    'msgbox(member.Name)
    xlsobj.cells(i,1).value=member.Name
    i=i+1
Next

Ik zie ergens op mijn laptop een scriptje op lokale users in een excel-bestand te dumpen.

code:

set grp=getobject("LDAP://CN=SalesGroup,OU=Engineering1,DC=nwtraders,DC=msft")

set mlist =grp.members
for each member in mlist
    msgbox member.FullName
next

Een beetje mengen met deze script, hiermee kan je users van een groep opvragen.

Zulke scriptjes maak je in kladblok en opslaan als een bestand met .vbs extensie.

[ Voor 4% gewijzigd door rapture op 23-01-2007 14:52 ]

dinsdag 23 januari 2007 14:34

Acties:

BorgMan

Topicstarter

Dat je een script na bewerken moest opslaan als .vbs wist ik toevallig, maar je zou inderdaad kunnen stellen dat er een gat in de opleiding zit. Nou is het wel een MBO opleiding waar de leraren zelf af en toe minder weten dan de leerlingen, vandaar ook het *blame it on the teacher*: Als het niet in je boek behandeld wordt zal hij dr zelf ook niet mee komen want hij weet het niet eens...

Toetsenrammer: ik had al zo'n vermoeden, met name doordat er onder in het venster een string stond dat begon met LDAP://...

Bunny scientific facts: Bunnies can't assimilate. BUT THEY CAN DANCE!