extracten van security groups die toegewezen zijn aan persoo - Serversoftware en clouddiensten

Vraag

dinsdag 18 februari 2025 15:53

Acties:

0 Henk 'm!

theduke1989

Topicstarter

Beste tweakers,

we zijn momenteel bezig met het schoonmaken van alle security groups, en ze toe te wijzen naar nieuwe naming conventions. Daarnaast stappen we over op CyberArk, dus willen we de standaard accounts controleren en de groepen die daar niet horen zoals admin groepen etc verwijderen. Dis is een bedrijf van 20 jaar oud, dus veel dingen toen zijn nog steeds actief.

De legacy groups bestaan meer dan 20 jaar en daar zijn er tig van op onze systemen.
Ik moet dus alle security groups nagaan kijken of er nog mensen in zitten, of dat ze nog gebruikt worden.

Is er een correct powershell script die me dit kan geven, heb op reddit zitten kijken, op andere sites zoals spiceworks etc, maar ik krijg nooit een volle lijst met alle security groups eventueel distribution groups met daarin of er nog mensen zitten of dat het nog toegewezen is aan een file structuur etc.

Alle reacties

dinsdag 18 februari 2025 16:19

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Wil je per persoon alle groepen zien waar die in zit?
Wil je van alle groepen nagaan of er (recursief) accounts in zitten?
Wil je van bepaalde groepen (naming convention, OU, ...) nagaan of er (recursief) mensen inzitten?

Sowieso, nagaan of iets ergens aan is toegewezen is een bijna onmogelijk taak. Voor fileshares moet je al je fileshares gaan afscannen om dan na te gaan hoe de rechten erop zijn gezet, en dat zowel voor share- als security rechten. Maar fileshares zijn uiteraard niet het enige waar je in een organisatie groepen gaat gebruiken.

No keyboard detected. Press F1 to continue.

dinsdag 18 februari 2025 16:22

Acties:

0 Henk 'm!

theduke1989

Topicstarter

Blokker_1999 schreef op dinsdag 18 februari 2025 @ 16:19:
Wil je per persoon alle groepen zien waar die in zit?
Wil je van alle groepen nagaan of er (recursief) accounts in zitten?
Wil je van bepaalde groepen (naming convention, OU, ...) nagaan of er (recursief) mensen inzitten?

Sowieso, nagaan of iets ergens aan is toegewezen is een bijna onmogelijk taak. Voor fileshares moet je al je fileshares gaan afscannen om dan na te gaan hoe de rechten erop zijn gezet, en dat zowel voor share- als security rechten. Maar fileshares zijn uiteraard niet het enige waar je in een organisatie groepen gaat gebruiken.

klopt. daarom vroeg ik me af is er iets wat me een beeld kan geven of informatie tenminste van alle groepen wie of wat daar aan gekoppeld is, nu moet ik alles langs en dat is een drama. Ook omdat ze de mappen structuur niet echt goed hebben bedankt.
en duurt denk ik meer dan een maand of lander om het in kaart te brengen.

[ Voor 3% gewijzigd door theduke1989 op 18-02-2025 16:27 ]

dinsdag 18 februari 2025 18:35

Acties:

0 Henk 'm!

Aschtra

Voor zulke dingen gebruik ik nou weer een AI.
Geef een prompt ala 'can you make me a powershell script that..' en geef wat je wilt hebben. Gegarandeerd dat er een basis uitkomt voor jouw vraag waarmee je verder kan.

Moet je wel goed duidelijk hebben wat je wilt en op welke manier

[ Voor 13% gewijzigd door Aschtra op 18-02-2025 18:35 ]

dinsdag 18 februari 2025 18:37

Acties:

0 Henk 'm!

franssie

Save the albatross

Hoeveel gebruikers en shares gaat het eigenlijk om?

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

dinsdag 18 februari 2025 19:00

Acties:

0 Henk 'm!

chaoscontrol

Get-aduser? get-adgroup? get-adgroupmembers? Allemaal standaard AD cmdlets. Dan heb je nog get-acl en Get-SmbShareAccess voor de filesystem en dan moet je een heel eind komen.

Inventaris - Koop mijn meuk!

dinsdag 18 februari 2025 19:46

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Denk dat je iets als dit zoekt: https://evotec.xyz/visual...bership-using-powershell/.

Code is op Github te vinden (link op de site). Heeft mij vorig jaar enorm geholpen in het in kaart brengen van gebruikers die bij bepaalde mailboxen mogen via groepen.

Commandline FTW | Tweakt met mate

dinsdag 18 februari 2025 19:46

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Was het nou maar weer allemaal zo eenvoudig. Ik nodigde jullie alle 3 wel even uit om in mijn omgeving even te komen helpen dan...

Lege (distributie)groepen valt nog relatief eenvoudig op te sporen, maar shares? Neen, dat is andere koek. Dan moet je al gaan kijken of er bijvoorbeeld een automatisatieplatform is dat scripts kan uitvoeren op alle systemen om dan alle niet administratieve shares te gaan oplijsten, de rechten op te vragen en die terug te rapporteren om dan met verdere automatisatie over die resultaten te gaan.

En dan te ontdekken dat 10% van je shares gewoon toegankelijk is voor "Everyone", er 4 zijn waar helemaal geen rechten op zijn toegekend 43 stuks te vinden waarop ook SIDs te zien zijn, ...

No keyboard detected. Press F1 to continue.

dinsdag 18 februari 2025 20:23

Acties:

0 Henk 'm!

Aschtra

Blokker_1999 schreef op dinsdag 18 februari 2025 @ 19:46:
Was het nou maar weer allemaal zo eenvoudig. Ik nodigde jullie alle 3 wel even uit om in mijn omgeving even te komen helpen dan...

Lege (distributie)groepen valt nog relatief eenvoudig op te sporen, maar shares? Neen, dat is andere koek. Dan moet je al gaan kijken of er bijvoorbeeld een automatisatieplatform is dat scripts kan uitvoeren op alle systemen om dan alle niet administratieve shares te gaan oplijsten, de rechten op te vragen en die terug te rapporteren om dan met verdere automatisatie over die resultaten te gaan.

En dan te ontdekken dat 10% van je shares gewoon toegankelijk is voor "Everyone", er 4 zijn waar helemaal geen rechten op zijn toegekend 43 stuks te vinden waarop ook SIDs te zien zijn, ...

1 ansible server hoest dit zo op.
Een eerste versie:

code:

 ---
- name: Gather Windows Shares and Export Permissions to CSV
  hosts: windows
  gather_facts: no
  tasks:
    - name: Generate share permissions report and export to CSV
      win_shell: |
        $outputPath = "C:\Windows\Temp\share_permissions.csv"
        'Server,Share,AccountName,AccessControlType,AccessRight' | Out-File -FilePath $outputPath -Encoding utf8

        $serverName = $env:COMPUTERNAME
        Get-SmbShare | ForEach-Object {
            $share = $_.Name
            Get-SmbShareAccess -Name $share | ForEach-Object {
                "$serverName,$share,$($_.AccountName),$($_.AccessControlType),$($_.AccessRight)" | Out-File -FilePath $outputPath -Append -Encoding utf8
            }
        }
      args:
        executable: powershell.exe

    - name: Fetch CSV file from Windows servers to Ansible control node
      fetch:
        src: C:\Windows\Temp\share_permissions.csv
        dest: ./share_permissions_{{ inventory_hostname }}.csv
        flat: yes

- name: Merge CSV files into a single report (run on localhost)
  hosts: localhost
  gather_facts: no
  tasks:
    - name: Merge all CSV files into one
      shell: cat share_permissions_*.csv | grep -v "Server,Share,AccountName,AccessControlType,AccessRight" > merged_share_permissions.csv
      args:
        executable: /bin/bash

    - name: Add header to merged CSV
      shell: echo "Server,Share,AccountName,AccessControlType,AccessRight" | cat - merged_share_permissions.csv > final_share_permissions.csv
      args:
        executable: /bin/bash

    - name: Cleanup temporary files
      file:
        path: merged_share_permissions.csv
        state: absent

- name: Transfer Final CSV to Central Windows Server
  hosts: central_windows_server
  gather_facts: no
  tasks:
    - name: Copy final CSV to Windows server
      copy:
        src: final_share_permissions.csv
        dest: C:\Reports\final_share_permissions.csv

code:

 Server,Share,AccountName,AccessControlType,AccessRight
WIN-SERVER-1,Public,Everyone,Allow,Full
WIN-SERVER-1,Public,Domain Users,Allow,Read
WIN-SERVER-1,Finance,Finance Group,Allow,Full
WIN-SERVER-1,Finance,Manager,Allow,Change
WIN-SERVER-2,HR,HR Staff,Allow,Full
WIN-SERVER-2,HR,HR Managers,Allow,Change
WIN-SERVER-2,IT,IT Admins,Allow,Full
WIN-SERVER-2,IT,Support Team,Allow,Read

Moet te doen zijn.

En ja tuurlijk kost even een eenmalige inrichting maar even voor zitten en komt goed.

Niet zoveel beren op de weg zien en gewoon beetje doorpakken als dit iets is wat je geregeld wilt hebben

[ Voor 61% gewijzigd door Aschtra op 18-02-2025 20:43 ]

dinsdag 18 februari 2025 20:43

Acties:

+1 Henk 'm!

theduke1989

Topicstarter

franssie schreef op dinsdag 18 februari 2025 @ 18:37:
Hoeveel gebruikers en shares gaat het eigenlijk om?

Security groups 250
Distributie groepen 50
Dan is er 1 file server met daarop 6 virtuele schijven, waarbij die virtuele schijven elk denk over de 50 root folders hebben met daarin weer andere folders.

Is niet te doen. maar we willen dat dus nu voordat alle medewerkers op CyberArk gaan dus aanpassen.

Dit is een taak voor mij.
Maar had dus op google gezocht, maar nog niet echt een oplossing

dinsdag 18 februari 2025 20:44

Acties:

0 Henk 'm!

theduke1989

Topicstarter

Hero of Time schreef op dinsdag 18 februari 2025 @ 19:46:
Denk dat je iets als dit zoekt: https://evotec.xyz/visual...bership-using-powershell/.

Code is op Github te vinden (link op de site). Heeft mij vorig jaar enorm geholpen in het in kaart brengen van gebruikers die bij bepaalde mailboxen mogen via groepen.

Ga dat morgen op werk even bekijken

dinsdag 18 februari 2025 20:47

Acties:

0 Henk 'm!

franssie

Save the albatross

theduke1989 schreef op dinsdag 18 februari 2025 @ 20:43:
[...]

Security groups 250
Distributie groepen 50
Dan is er 1 file server met daarop 6 virtuele schijven, waarbij die virtuele schijven elk denk over de 50 root folders hebben met daarin weer andere folders.

Is niet te doen. maar we willen dat dus nu voordat alle medewerkers op CyberArk gaan dus aanpassen.

Dit is een taak voor mij.
Maar had dus op google gezocht, maar nog niet echt een oplossing

Dat is inderdaad niet te doen. Succes met het verder onderzoeken van de tip onder je reactie, en anders wellicht overwegen de opdracht terug te geven en na te denken over een betere aanpak. Dat ze het 20 jaar oid hebben laten verwaarlozen legt ook wat verantwoordelijkheid bij de opdrachtgeven (of je nu in loondienst bent of ingehuurd)

Hoe dan ook, sterkte en succes!

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

dinsdag 18 februari 2025 21:20

Acties:

+1 Henk 'm!

theduke1989

Topicstarter

franssie schreef op dinsdag 18 februari 2025 @ 20:47:
[...]

Dat is inderdaad niet te doen. Succes met het verder onderzoeken van de tip onder je reactie, en anders wellicht overwegen de opdracht terug te geven en na te denken over een betere aanpak. Dat ze het 20 jaar oid hebben laten verwaarlozen legt ook wat verantwoordelijkheid bij de opdrachtgeven (of je nu in loondienst bent of ingehuurd)

Hoe dan ook, sterkte en succes!

Bedrijf is opgericht in Duitsland en zo.doorhrgroieid. dan meermaals overgekocht. En nu 2019 weer overgekocht en zitten nu overal
Luxembourg (mijn afdeling)
Spanje en Italië takken van ons.
Dan heb je nog in UK kantoren en bermuda is hoofdkantoor.

Het ergste is alles nog op zijn Duits, en de groupIT wil dit aanpassen.

Dus ja dank je, zal even kijken morgen met de gegeven links.

woensdag 19 februari 2025 09:32

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Ik zou zeggen dat het met die aantallen nog redelijk eenvoudig is en net wel haalbaar, ja het gaat wat tijd kosten, maar het is te doen. Ik kijk zelf aan naar meer dan 4000 groepen die enkel en alleen voor fileshares dienen in mijn omgeving, en als het ooit een voldoende hoge prioriteit krijgt zal ik ook eens aan de opkuis moeten beginnen van meerdere generaties aan naming conventions en alle rommel die er achter zit.

Het feit dat je bijvoorbeeld maar 1 fileserver hebt maakt het relatief eenvoudig om de schijven op die server recursief te gaan afscannen met PowerShell om van elke folder te gaan kijken of inheritance aanstaat of niet en indien niet de rechten van die folder op te lijsten.

Dan kan je vergelijking gaan maken tussen welke groepen op je shares en hun folders zitten en welke in AD. Maar het is niet omdat een security groep niet op een folder zit, dat deze niet voor iets anders gebruikt kan worden. Voldoende applicaties die ogpezet zijn met AD/LDAP groepen om role based access mogelijk te maken.

Voor distribtuiegroepen heb je een andere uitdaging. Lege groepen zijn meestal, maar niet altijd, veilig om te verwijderen. Een betere graadmeter is om na te gaan of er nog mails naartoe worden gestuurd, alleen hangt dat dan weer af van je mailinfra en welke logging daar op zit. Bij Exchange Online kan je slechts 90 dagen terug gaan in het beste geval en dat is eigenlijk onvoldoende om te zeggen of een mailgroep wel of niet gebruikt wordt daar er ongetwijfeld groepen zijn die slechts gedurende 1 periode per jaar gebruikt zullen worden. Maar ook daar heb je dan wel weer een startpunt om na te gaan wat wel en niet kan opgekuist worden.

No keyboard detected. Press F1 to continue.

woensdag 19 februari 2025 09:45

Acties:

0 Henk 'm!

ElCondor

Geluk is Onmisbaar

theduke1989 schreef op dinsdag 18 februari 2025 @ 21:20:
[...]
...

Het ergste is alles nog op zijn Duits, en de groupIT wil dit aanpassen.
...

Amaai, Festplatte... Speichern... etc...

Of valt dat nog me?

En let op dat je, bij het recursief doormelken van AD, in een loop terecht kan komen. AD checkt, volgens mij, niet op circulaire verwijzingen.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

donderdag 20 februari 2025 16:07

Acties:

0 Henk 'm!

Wylana

Ik gebruik hiervoor de gratis tooling van CJWDEV.

http://cjwdev.co.uk/Software.html

Vooral AD INFO en NTFS Permission Analyzer zijn top.
Met de gratis versies maakt hij .html bestanden aan van de resultaten die je makkelijk kan importeren in Excel.

Ik ben steenrijk....ik heb een grindpad!

donderdag 20 februari 2025 16:17

Acties:

0 Henk 'm!

theduke1989

Topicstarter

Wylana schreef op donderdag 20 februari 2025 @ 16:07:
Ik gebruik hiervoor de gratis tooling van CJWDEV.

http://cjwdev.co.uk/Software.html

Vooral AD INFO en NTFS Permission Analyzer zijn top.
Met de gratis versies maakt hij .html bestanden aan van de resultaten die je makkelijk kan importeren in Excel.

probleem is dat alle niet bekende software bij ons eerst door een ShadowIT process moeten, om het te kunnen gebruiken.

Zal met de manager maar eens spreken, PowerShell wordt hem niet denk ik, de tool hierboven moet ik even kijken. Moet eerlijk zeggen dat ik geen mood heb om aan te beginnen, maar wel moet. goed dat heb je altijd, ga morgen even de app bekijken.

donderdag 20 februari 2025 16:24

Acties:

0 Henk 'm!

Wylana

theduke1989 schreef op donderdag 20 februari 2025 @ 16:17:
[...]

probleem is dat alle niet bekende software bij ons eerst door een ShadowIT process moeten, om het te kunnen gebruiken.

Zal met de manager maar eens spreken, PowerShell wordt hem niet denk ik, de tool hierboven moet ik even kijken. Moet eerlijk zeggen dat ik geen mood heb om aan te beginnen, maar wel moet. goed dat heb je altijd, ga morgen even de app bekijken.

Niet veel mensen kennen het inderdaad, maar ik gebruik het geregeld voor de rapportages/overzichten en voor audits bij de klant zelf.

De resultaten kan je exporteren naar .html en in Excel 2016 en hoger kan je deze dan openen.
Daarna kan je hem opslaan als .xsls en de data herindelen hoe je wilt.

Managers zijn altijd blij met mij als ik ze een overzicht kan geven van wie (groepen, gebruikers) toegang heeft tot welke map bijvoorbeeld. En mooiste is, dat de tool ook kan laten zien of een gebruiker toegang heeft tot een map via een groep en zo ja, toont ie ook welke groep.

En wat betreft jouw eigen zoektocht voor een overzicht van groepen. AD INFO kan deze perfect tonen. Er zijn al diverse queuries gemaakt die je kan gebruiken en daarna de resultaten exporteren.
Afbeeldingslocatie: http://www.cjwdev.co.uk/Software/ADReportingTool/MainScreen.png

Afbeeldingslocatie: http://www.cjwdev.co.uk/Software/ADReportingTool/MainScreen.png

Ik ben steenrijk....ik heb een grindpad!

donderdag 20 februari 2025 16:49

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

ElCondor schreef op woensdag 19 februari 2025 @ 09:45:
[...]

Amaai, Festplatte... Speichern... etc... Of valt dat nog me?

En let op dat je, bij het recursief doormelken van AD, in een loop terecht kan komen. AD checkt, volgens mij, niet op circulaire verwijzingen.

Dat is gelukkig niet zo, recursive loop wordt netjes afgevangen, krijg je spijtig genoeg wel geen waarschuwing voor.

No keyboard detected. Press F1 to continue.

donderdag 20 februari 2025 19:05

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

theduke1989 schreef op dinsdag 18 februari 2025 @ 20:44:
[...]

Ga dat morgen op werk even bekijken

En, heeft dit al wat beter inzicht gegeven?

Commandline FTW | Tweakt met mate

Pagina: 1

Reageer