我有一个安全秘密:)有效的权限选项卡显示,一些抽样用户(IT操作)有任何和所有的权利(所有框被打勾)。 这些权限表明本地pipe理员组具有完全访问权限,并且一些业务用户也具有抽样用户不是其成员的业务用户。 本地pipe理员组具有一些AD IT Ops相关组,其中抽样用户再次看起来不是成员。 被抽样的用户也不是域pipe理员的成员。 我试图向后追溯(从权限到用户),并转发(用户权限),找不到任何东西。 在这一点上,有三种select:
有没有办法来检索有效权限的决定逻辑? 任何提示,技巧,想法?
更新:获胜的答案是数字3 – 有效的权限是可怕的错误。 比较从服务器上以pipe理员身份login时的输出以及从远程计算机以普通用户身份运行时显示的结果不同:所有框(FULL)访问和服务器上 – 无。 实际上testing访问,当然,拒绝访问。
有效权限对于维护安全至关重要,但可悲的是,微软实施有效权限并不准确,因此也不可靠。
我们也一直在寻找可靠的方法来确定有效权限。
我们本来会对一个PowerShell脚本,一个命令行工具,甚至是一个我们可以使用的基本API感到满意,但是在search范围很广的时候,最长时间没有find任何东西。
上个月,我和我们的MS联系人分享了我的挫折感,他指着我们讨论了一个中小企业论坛 – http://www.activedirsec.org/t49320432/why-does-the-effective-permissions-tab-in-active -directory-N /
事实certificate,微软合作伙伴通过构build一个名为Gold Finger for AD的准确有效权限工具来解决这个问题。 这是一个简约的GUI工具,做这个工作 – 值得检查。
我不是Windowspipe理员,但是我看到了我的同事使用的这个AccessChk工具。 它会帮助你吗?
只是一个Linux家伙在黑暗中的一枪。 :d
我已经看到有效的权限出错(在Win2K3上,但我认为它也可以在Win2k8上发生)。 我从来没有想过为什么肯定,但在我看来,这可能与用户是太多团体(包括小组)的成员有关。
如果您的用户是100多个组的成员,则可以查看这篇文章: http : //support.microsoft.com/kb/327825
另外,我写了一个HTA脚本来显示一个用户所在的组的整个树,这帮助了我很多。 你可以在这里下载:http: //zeda.nl/EN/Blog/020_Overview_nested_groups