Toon posts:

[2003] Overzicht rechten uit AD groepen*

Pagina: 1
Acties:
  • 138 views sinds 30-01-2008
  • Reageer

dinsdag 22 mei 2007 12:16

Acties:

Verwijderd

Topicstarter
Beste tweakers en tweaksters,

kent iemand van jullie een tool waarmee je een overzicht kan krijgen van de shares binnen een AD omgeving waar leden van een specifieke groep toegang toe hebben, en dan bij voorkeur ook nog een summiere uitdraai van welke toegangsrechten?

Er is in onze AD zo een congestie ontstaan in het aantal aanwezige groepen dat ik dit graag wil auditten en logisch wil gaan indelen, maar om al die groepen handmatig over onze AD uit te gaan zoeken kost me weken tijd. Er zal toch wel een tool zijn die dit ook kan.

Thanks for any effort,

dinsdag 22 mei 2007 12:20

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Die is er niet standaard.
Als ik je vraag goed begrijp tenminste :)

Je wil dus een overzicht hebben van bijv. Groep GS-File-AfdelingA waar deze op verschillende servers gebruikt wordt, en met welke rechten?

[ Voor 8% gewijzigd door alt-92 op 22-05-2007 12:21 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 mei 2007 12:22

Acties:

Verwijderd

Topicstarter
klopt, maar dat hoeft zich niet per definitie op alle servers te kijken, ik kan binnen de AD een aantal servers aanwijzen waarvan dit overzicht van belang is. Ook zou dit per server kunnen worden gedraait ipv een centrale omgeving.

dinsdag 22 mei 2007 12:26

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ah, ok.

Ik werk momenteel in een project waar we jouw plan uitvoeren :+
Wij gebruiken een SQL database waarin alle groepen + memberships van de AD staan, en gebruiken dumpacl.exe / dumpsec.exe om de ACLs uit te lezen op de Servers. Die worden ook geimporteerd in de DB (of je werkt ze in een temptable in een Access frontend bij).

Vervolgens worden er lijsten gecreerd met een overzicht wie waarbij kan.

AD slaat namelijk niet op wáár een security group allemaal gebruikt wordt, dan zou je NTDS.dit nogal wat bloat krijgen (factor 10 ofzo :+)

[ Voor 14% gewijzigd door alt-92 op 22-05-2007 12:30 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 mei 2007 12:32

Acties:

Verwijderd

Topicstarter
aha, ik loop dus wat voor met het verzoeken naar iets waar jij nog mee bezig bent ;)

In dat geval ga ik zelf ook maar eens wat knutselen.

Thanks!

dinsdag 22 mei 2007 12:39

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Sowieso zijn dit soort dingen vaak maatwerk, en heel afhankelijk van het infrastructure design :)

[edit]
Kon me haast niet voorstellen dat er niet iets was.

http://www.winsysbee.com/...e=pae.screenshots.en.html

http://www.winsysbee.com/...e&page=pae.prices.en.html

Ze hebben een demo versie :)

[edit2]

Om mijn bovenstaande maatwerk opmerking nog wat toe te lichten:
Ik heb geen idee of die tool ook rekening houdt met groupnesting bijvoorbeeld, en onze SQL database kan dat wel.
Dat is met name handig als je met RBAC (RoleBased Access Control) werkt, waarbij een aparte security group als rol meerdere groepen als member heeft.

[ Voor 89% gewijzigd door alt-92 op 22-05-2007 13:06 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 mei 2007 13:25

Acties:

Verwijderd

Topicstarter
Een collega van de security afdeling wees me op de tool hyena (http://www.appdeploy.com/downloads/detail.asp?id=101). Ik heb deze nu draaien. Deze geeft met een klein beetje zoeken precies de output die ik hebben wil. Niet zo mooi als jij aan het bouwen bent met een front en backend, maar wel functioneel :-)

dinsdag 22 mei 2007 19:30

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Misschien zou je hiervoor zelf ook met get-acl van de Windows powershell iets kunnen doen:
http://www.microsoft.com/...nter/csc/tips/ps/acl.mspx
Dit accepteert unc-paden. Of heb je het over een omgeving waar enkel met share-rechten gewerkt wordt, en ntfs-info nutteloos is?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 22 mei 2007 21:09

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

dumpsec doet ook alleen ntfs acls in ons geval ;)
PowerShell is helaas geen beschikbare package in de organisatie, dat duurt minimaal een jaar voordat uberhaupt beschikbaar komt (tja, grote organisaties zijn soms ook minder prettig) dus moeten we het met simpeler standalone executables oplossen die een human-readable output kunnen genereren.

De reden dat we een SQL backend gebruiken is ook voor auditing, rapportage en historische gegevens heel geschikt, not to mention dat we met robocopy (/L ) vanuit de database audits kunnen houden per share wie hoeveel data gebruikt voor billing.

Quota hebben ze niet van gehoord blijkbaar :X

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq