你刚在A公司被聘用,老pipe理员已经不在了。 将用户添加到Internet限制组的请求即将开始。 当你看看这些组织时,没有任何一个名字是有意义的,没有任何文件可以解释每个组织有什么权利和做什么。 这会引起我的关注。 为了安全,你怎么知道每个人都有正确的权利。
你将如何发现这些团体有权利? 有没有工具可以为你find这些信息?
你没有。 有很多东西,除非你已经知道整个环境,否则你根本无法做到这一点。 请参阅: 在删除AD之前,如何检查AD中的组/用户的访问?
看看本·皮尔布洛(Ben Pilbrow)的答案,就是可以给予AD的一个实体权利。 如果您知道环境中的每个应用程序都可以让AD实体获取分配给它的ACL,则可以为每个ACL查询每个应用程序。
sysinternals工具,AccessEnum,可能能够帮助你。 它为特定path中的每个目录提供读取,写入和拒绝权限。 它是一个非常有用的工具,但是你应该注意,它的输出也非常冗长。
http://technet.microsoft.com/en-us/sysinternals/bb897332
还有accesschk。 您可以使用它来显示特定用户针对特定目录及其文件的特定访问信息。
活动目录是一个身份validation和目录服务提供者。 它只包含与活动目录本身有关的权限(例如,可以监视这个组的成员,你可以修改这个用户等等)。 单独使用活动目录是不可能确定组或用户实际用于什么的。 Yuo对安全性方面有所担忧。 现在,你可以通过社交devise让某人获得他们不应该拥有的东西。 在这种情况下,可能会开始运行某种审计,无论是本地的Windows还是像任务访问pipe理器这样的工具,以便开始猜测谁拥有什么。 在你花了大量时间阅读这些报告之后,你就可以开始修剪了(参见我在这里的回答以获得一个build议的方法论。在这样做的同时,