我正在尝试确定AD树上的潜在许可问题。 我想到的就是像SysInternals FileMon一样实时监控Active Directory中的对象访问。
例如:将计算机添加到域。
野外有这样的事吗? 有没有更好的办法?
如果你正在谈论服务试图阅读…什么对象? 我想我错过了AD与所讨论的对象有什么关系。 我发现读取对象访问的最佳工具是sysmonternals中的filemon和regmon,以及procmon。 这通常可以很好地概括什么是工作,什么不是权限访问。
我们确实有一些AD策略的实例没有被系统定期读取,而且唯一可行的是:A)重启。 它可能会在下次阅读。 B)强制刷新政策。 然而,对于什么时候/如何需要,它似乎是随机的,而Windows对于发生的事情给予反馈简直是太神奇了。 哈哈! C)解决它。 例如,将打印机分配给某些计算机在某些时候并不会工作,所以最终我们只是开始将免费软件AdPrintx打到我们部署的每个工作站上,并在启动文件夹中添加了一个batch file,在绕过随机挫败的同时添加了默认打印机的AD。
我猜你想过使用事件日志,它应该在尝试编辑AD对象时报告权限问题。
你有没有试过Dumpsec 。 我已经看到它被审计人员用来很好地概述AD中的权限和安全设置。
可能更好的方法是采取一个帐户,并检查它具有什么样的权限在OU上。
您可以使用dsrevoke.exe和/ report选项来获取单个的详细信息。
或者你可以使用“有效的权限”, 这里解释
你有没有尝试LIZA? 这是一个免费的Active Directory权限分析工具: